หลักเกณฑ์การประเมินกระบวนการปฏิบัติงาน ฉบับปรับปรุง ปี 2565

คมู่ อื การประเมนิ ผลการดำเนนิ งานรฐั วิสาหกจิ (ฉบบั ปรบั ปรุง ปี 2565)
ตามระบบประเมินผลรฐั วิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรฐั วิสาหกจิ (สคร.) กระทรวงการคลงั

1.2 แผนปฏบิ ัติการดจิ ทิ ัลระยะ 3-5 ปี (Digital Roadmap) (น้ำหนกั ร้อยละ 10.5)

• กระบวนการจัดทำแผนปฏิบัติการดิจิทัลและแผนปฏิบัติการประจำปี (Digital Roadmap and Action Plan)
ของรฐั วิสาหกิจ*

• รฐั วสิ าหกจิ มกี ารจดั ทำแผนปฏิบัตกิ ารดจิ ิทลั ระยะ 3- 5 ปี ท่ีมีความเชือ่ มโยงและสอดคลอ้ งกับแผนวิสาหกิจของ
องค์กร และนโยบายต่าง ๆ เต็มตามศักยภาพของระบบเทคโนโลยีดจิ ิทัล โดยมุ่งเนน้ การนำเทคโนโลยีดจิ ิทัลมา
ปรับใช้กับทุกส่วนขององค์กร และทุกส่วนของธุรกิจ (Digital Transformation) ทั้งในส่วนของกระบวนการ
ทำงาน การสร้างสรรค์ผลิตภัณฑ์ การตลาด วัฒนธรรมองค์กร และการกำหนดเป้าหมายการเติบโตในอนาคต
เพื่อให้เกิดประสิทธภาพในการดำเนินธุรกิจและสามารถรองรับการเปลี่ยนแปลงได้อย่างรวดเร็ว รวมถึงในการ
สร้างธุรกิจใหม่ๆ รูปแบบบริการใหม่ๆ ให้เกิดขึ้น ตลอดจนการบริหารโครงการและการดำเนินงานด้าน
เทคโนโลยีดจิ ทิ ลั อย่างมีประสิทธภาพ และมีการบริหารจดั การดา้ นคณุ ภาพของการนำเทคโนโลยดี ิจิทลั มาใช้

• รัฐวิสาหกิจมกี ารกำหนดรายละเอยี ดที่ชัดเจนในส่วนของเป้าหมายการนำเทคโนโลยีดจิ ิทัลมาปรับใช้กับทุกสว่ น
ขององค์กร (Digital Transformation) ที่แสดงให้เห็นถึงการปรับเปลี่ยนทั้งในส่วนของ Process People
Technology

• แผนปฏิบัติการดิจิทัลระยะ 3- 5 ปี มีการดำเนินการเพื่อตอบสนองต่อนโยบายที่สำคัญ โดยมีหลักเกณฑ์
การพจิ ารณาดงั น้ี
o Digital Transformation
o Government Integration
o Data Governance and Big Data Management
o Information Security Management
o Business Continuity and Availability Management
o Resource Optimization Management
o ประชาชน/ผู้ใชบ้ รกิ ารได้รบั ความสะดวกและไดร้ บั การตอบสนองตามความต้องการ

• รัฐวิสาหกิจมีการจัดทำแผนปฏิบัติการในระดับองค์กรที่ถ่ายทอดมาจากแผนปฏิบัติการดิจิทัลระยะ 3 - 5 ปี
มอี งค์ประกอบหรอื รายละเอยี ดดงั นี้
o กลุ่ม / ลำดับความสำคัญของแผนงาน / โครงการดังกล่าวอย่างเหมาะสม เช่น กลุ่ม / ลำดับ
ความสำคัญเร่งดว่ น กลมุ่ / ลำดบั ความสำคญั ปานกลาง เป็นตน้
o KPI ที่แสดงถึงความสำเร็จและสะท้อนผลลัพธ์ที่คาดหวัง เช่น ระยะเวลาการให้บริการที่ลดลงใน
ระหว่างการดำเนนิ งาน ณ ส้ินปบี ัญชแี รก และระยะเวลาที่ลดลงในปถี ัดไปหรือเมอื่ การดำเนินงานเสร็จ
สิน้ เปน็ ตน้ โดยเป้าหมายมคี วามท้าทาย

หนา้ 5-15

คูม่ อื การประเมินผลการดำเนนิ งานรัฐวสิ าหกิจ (ฉบับปรับปรงุ ปี 2565)
ตามระบบประเมินผลรฐั วิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.) กระทรวงการคลงั

ระดับ 1 เรมิ่ มีแนวทางในการจัดทำแผนปฏบิ ัตกิ ารดจิ ิทลั และแผนปฏิบตั กิ ารประจำปี
ระดับ 2 รัฐวสิ าหกจิ มกี ระบวนการจดั ทำแผนปฏบิ ัตกิ ารดิจิทลั และแผนปฏิบตั กิ ารประจำปี และแนวปฏิบตั ทิ ีก่ ำหนด

อย่างครบถ้วนและเป็นระบบ ซึ่งประกอบดว้ ย

• มีการกำหนดรายละเอียดที่ชัดเจนในสว่ นของเป้าหมายการนำเทคโนโลยีดิจิทัลมาปรบั ใช้กับทุกส่วน
ขององค์กร (Digital Transformation) ที่แสดงให้เห็นถึงการปรับเปลี่ยนทั้งในส่วนของ Process
People Technology

• ความเชื่อมโยงและสอดคล้องกับแผนวิสาหกิจขององค์กร และนโยบายต่าง ๆ เต็มตามศักยภาพของ
ระบบเทคโนโลยดี จิ ทิ ลั ประกอบด้วย
- การนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร และทุกส่วนของธุรกิจ (Digital
Transformation)
- การบูรณาการเชื่อมโยงข้อมูลและการดำเนินงานร่วมกันระหว่างหน่วยงาน (Government
Integration)
- การกำกับดูแลข้อมูลและการบริหารจัดการข้อมูลขนาดใหญ่ขององค์กร (Data Governance
and Big Data Management)
- การบริหารจัดการความมั่งคงปลอดภัยด้านเทคโนโลยีสารสนเทศขององค์กร (Information
Security Management)
- การบริหารความต่อเนื่องทางธุรกิจและความพร้อมใช้ของระบบ (Business Continuity and
Availability Management)
- การบรหิ ารจดั การการใช้ทรัพยากรอย่างเหมาะสม (Resource Optimization Management)
- ประชาชน/ผู้ใชบ้ ริการไดร้ บั ความสะดวกและได้รบั การตอบสนองตามความตอ้ งการ

• มีการจดั ทำแผนปฏบิ ตั ิการในระดับองคก์ รทถ่ี ่ายทอดมาจากแผนปฏบิ ตั ิการดิจิทัลระยะ 3- 5 ปี
ระดับ 3 รัฐวสิ าหกจิ มกี ารถ่ายทอดกระบวนการจัดทำแผนปฏิบตั ิการดิจิทัลและแผนปฏบิ ัติการประจำปี แก่ผูม้ สี ่วนได้

ส่วนเสียที่สำคัญที่เกี่ยวข้องกับกระบวนการอย่างครบถ้วน โดยมีการแสดงการวิเคราะห์ที่ชัดเจน และมีการ
ประเมนิ การรบั รขู้ อง ผมู้ ีส่วนไดส้ ่วนเสียทสี่ ำคัญทเ่ี กี่ยวข้องกับกระบวนการอยา่ งครบถ้วน
ระดับ 4 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
จัดทำแผนปฏบิ ัตกิ ารดจิ ทิ ลั และแผนปฏบิ ัตกิ ารประจำปี
ระดับ 5 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
จดั ทำแผนปฏบิ ัติการดิจิทัลและแผนปฏบิ ตั ิการประจำปี และมกี ารนำผลลัพธ์ทส่ี ำคัญของกระบวนการ เข้า
สูก่ ระบวนการทบทวน การกำกบั ดแู ลด้านการบริหารจัดการดิจิทัล /จดั ทำแผนปฏบิ ตั ิการดจิ ิทัลขององค์กร
(ระยะยาว) มีการนำผลที่ได้จากการประเมินไปเรียนรู้ และจัดการความรู้ เพื่อนำไปปรับปรุงและทำ
นวัตกรรม โดยมกี ารจดั เกบ็ ความรู้และนวัตกรรมที่ได้ลงระบบดจิ ทิ ัล

หนา้ 5-16

คมู่ อื การประเมนิ ผลการดำเนนิ งานรัฐวิสาหกจิ (ฉบบั ปรบั ปรงุ ปี 2565)
ตามระบบประเมนิ ผลรฐั วิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรัฐวิสาหกจิ (สคร.) กระทรวงการคลัง

หมายเหตุ :
* การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับวุฒิภาวะ (Maturity Level) โดยพิจารณาจากการ
จัดการกระบวนการให้มีแนวทางปฏิบัติอย่างเป็นระบบ สามารถทำซ้ำได้ (Repeatable Practice) และเป็น
มาตรฐาน (Standardized Practice) ซึ่งมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กร โดยมีการวัด
วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนำมาปรับปรุงและพัฒนา
กระบวนการอยา่ งต่อเน่ือง

2. การนำเทคโนโลยดี จิ ิทลั มาปรบั ใช้กบั ทกุ ส่วนขององคก์ ร (Digital Transformation) (นำ้ หนักรอ้ ยละ 25)

2.1 การวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร (Enterprise Architecture) (นำ้ หนักรอ้ ยละ 9)

• กระบวนการวเิ คราะห์และจัดทำสถาปัตยกรรมองค์กร (Enterprise Architecture) ของรฐั วิสาหกิจ*

• รัฐวิสาหกิจมีการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กร (Enterprise Architecture) เพื่อมุ่งเน้นการนำ
เทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร และทุกส่วนของธุรกิจ ทั้งในส่วนของกระบวนการทำงาน
การสร้างสรรค์ผลิตภณั ฑ์ การตลาด วฒั นธรรมองค์กร และการกำหนดเปา้ หมายการเติบโตในอนาคต โดยแสดง
ให้เห็นภาพในปัจจุบันก่อนนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร (As is) และภาพในอนาคตใน
การนำเทคโนโลยีดิจิทัลมาปรบั ใชก้ บั ทุกส่วนขององค์กร (To be) ซง่ึ ครอบคลุมถึง
o Business Architecture
o Data/Information Architecture
o Application Architecture
o Technology/Infrastructure Architecture
o Security Architecture

• รัฐวิสาหกิจมีการกำหนดรายละเอียดขั้นตอนการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร ( Digital
Transformation) ทแ่ี สดงใหเ้ ห็นถงึ การปรับเปลย่ี นท้งั ในส่วนของ Process People Technology อย่างชัดเจน

• รัฐวิสาหกจิ มกี ารสอื่ สารสถาปัตยกรรมองค์กร (Enterprise Architecture Communications)

• รัฐวิสาหกิจมีการกำหนดกรอบ/แนวทางการใช้สถาปัตยกรรมองค์กรกับโครงการด้านดิจิทัลอย่างเป็นรูปธรรม
(Digital Projects using Enterprise Architecture services)

• รัฐวิสาหกิจมีการกำหนดแนวทางการประเมินประสิทธผิ ล/ความคุม้ ค่าของการนำเทคโนโลยีดิจิทัลมาปรับใชก้ บั
ทุกสว่ นขององคก์ ร (Evaluation of Digital Transformation)

ระดับ 1 เริม่ มีแนวทางในการวเิ คราะหแ์ ละจดั ทำสถาปตั ยกรรมองค์กร
ระดับ 2 รัฐวิสาหกิจมีกระบวนการวิเคราะหแ์ ละจัดทำสถาปัตยกรรมองค์กร และแนวปฏิบัติที่กำหนดอย่างครบถ้วน

และเป็นระบบ ซ่งึ ประกอบดว้ ย
• การวิเคราะห์และจัดทำสถาปัตยกรรมองคก์ ร ให้ครอบคลมุ

หนา้ 5-17

คู่มอื การประเมินผลการดำเนินงานรฐั วสิ าหกจิ (ฉบับปรับปรุง ปี 2565)
ตามระบบประเมินผลรฐั วิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรัฐวสิ าหกิจ (สคร.) กระทรวงการคลัง

- Business Architecture
- Data/Information Architecture
- Application Architecture
- Technology/Infrastructure Architecture
- Security Architecture
โดยแสดงให้เห็นภาพในปัจจบุ นั ก่อนนำเทคโนโลยดี ิจิทัลมาปรับใช้กบั ทกุ ส่วนขององค์กร (As is) และภาพใน
อนาคตในการนำเทคโนโลยีดจิ ทิ ลั มาปรับใชก้ ับทุกสว่ นขององคก์ ร (To be)
• การกำหนดรายละเอียดขั้นตอนการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร (Digital
Transformation) ที่แสดงให้เห็นถึงการปรับเปลี่ยนทั้งในส่วนของ Process People Technology
อย่างชัดเจน
• การกำหนดกรอบ/แนวทางการใช้สถาปตั ยกรรมองคก์ รกบั โครงการด้านดจิ ิทลั อยา่ งเป็นรูปธรรม
• การกำหนดแนวทางการประเมินประสิทธิผล/ความคุม้ ค่าของการนำเทคโนโลยดี ิจิทัลมาปรับใช้กับทุก
สว่ นขององค์กร
ระดับ 3 รฐั วสิ าหกิจมกี ารถา่ ยทอดกระบวนการวิเคราะห์และจดั ทำสถาปตั ยกรรมองค์กร แกผ่ ู้มีสว่ นไดส้ ว่ นเสียทส่ี ำคัญ
ที่เก่ยี วข้องกบั กระบวนการอย่างครบถว้ น โดยมกี ารแสดงการวิเคราะหท์ ่ีชัดเจน และ มีการประเมนิ การรบั รขู้ อง ผู้
มีสว่ นได้ส่วนเสยี ทส่ี ำคญั ท่เี กย่ี วขอ้ งกับกระบวนการอยา่ งครบถ้วน
ระดับ 4 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
วเิ คราะห์และจดั ทำสถาปตั ยกรรมองคก์ ร
ระดับ 5 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
วิเคราะห์และจดั ทำสถาปัตยกรรมองค์กร และมกี ารนำผลลัพธท์ ส่ี ำคญั ของกระบวนการ เขา้ สู่กระบวนการ
ทบทวน การกำกับดูแลด้านการบริหารจัดการดิจิทัล /จัดทำแผนปฏิบัติการดิจิทัลขององค์กร (ระยะยาว)
มีการนำผลที่ได้จากการประเมินไปเรียนรู้ และจัดการความรู้ เพื่อนำไปปรับปรุงและทำนวัตกรรม โดยมี
การจัดเก็บความรูแ้ ละนวัตกรรมทไ่ี ดล้ งระบบดิจิทลั

หมายเหตุ :
* การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับวุฒิภาวะ (Maturity Level) โดยพิจารณาจากการ
จัดการกระบวนการให้มีแนวทางปฏิบัติอย่างเป็นระบบ สามารถทำซ้ำได้ (Repeatable Practice) และเป็น
มาตรฐาน (Standardized Practice) ซึ่งมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กร โดยมีการวัด
วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนำมาปรับปรุงและพัฒนา
กระบวนการอยา่ งต่อเน่อื ง

หนา้ 5-18

คู่มือการประเมนิ ผลการดำเนนิ งานรฐั วสิ าหกจิ (ฉบับปรับปรงุ ปี 2565)
ตามระบบประเมนิ ผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรฐั วิสาหกิจ (สคร.) กระทรวงการคลงั

สถาปัตยกรรมองค์กร (Enterprise Architecture) คือ กระบวนในการนำเอาเทคโนโลยีสารสนเทศ (Information
Technology: IT) มาสนบั สนุนการดำเนินงานธรุ กจิ (Business) ใหเ้ กิดประสทิ ธิภาพและประสทิ ธิผลสงู สุดต่อองค์กร

แมว้ ่าสถาปัตยกรรมองค์กรจะเนน้ ในเรอ่ื งความสอดคล้องกนั ของการดำเนินงานดา้ นธุรกิจและเทคโนโลยี
สารสนเทศ อย่างไรก็ตามด้านความมั่นคงปลอดภัยก็ถือเป็นอีกหนึ่งองค์ประกอบที่ขาดไม่ได้ซึ่งจะช่วยให้ทั้งการ
ดำเนินงานธุรกิจและการบริหารจัดการเทคโนโลยีสารสนเทศเป็นไปด้วยความถูกต้อง ครบถ้วน โปร่งใส และ
ตรวจสอบได้ เป็นเวลาเกือบ 30 ปีที่ผ่านมาที่นักวิจัยและนักปฏิบัติเริ่มมีการศึกษาถึงการพัฒนาสถาปัตยกรรม
องค์กร จากอดีตจนถึงปัจจุบันกรอบแนวความคิดและหลักการในการพัฒนาสถาปัตยกรรมองค์กรถูกนำเสนอ
ขึน้ มามากมาย โดย The Zachman Framework for Enterprise Architecture ถือเป็นกรอบของสถาปัตยกรรม
องค์กรแรกที่ถูกนำเสนอ ในปี พ.ศ. 2530 และเป็นกรอบแนวคดิ ท่ีถูกนำมาประยุกตใ์ ช้เป็นจำนวนมาก นอกจากน้ี
ยังมีกรอบแนวคิดอื่นที่ได้ถูกนำมาปรับใช้เช่น The Open Group Architecture Framework (TOGAF) และ
Federal Enterprise Architecture (FEA)

ที่มา : สถาปัตยกรรมองคก์ รของ สำนกั งานรฐั บาลอิเล็กทรอนิกส์ (องคก์ ารมหาชน) e-Governmant Agency (EGA)

รปู TOGAF Architecture Development Method

หนา้ 5-19

คมู่ ือการประเมนิ ผลการดำเนินงานรัฐวสิ าหกิจ (ฉบับปรับปรงุ ปี 2565)
ตามระบบประเมินผลรฐั วิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรัฐวสิ าหกิจ (สคร.) กระทรวงการคลงั

TOGAF Framework มีจุดเด่นที่สำคัญคือการให้แนวทาง และรายละเอียดของการพัฒนาสถาปัตยกรรมองค์กร
(Enterprise Architecture Development) โดยประกอบไปดว้ ยขั้นตอนต่อไปน้ี

1) ขั้นต้น (Preliminary) : อธิบายถึงการปรับปรุงเปลี่ยนแปลง TOGAF เพื่อให้สอดคล้องกับรูปแบบการ
ดำเนินงานขององค์กร และระบุหลักการสถาปัตยกรรม (Architecture Principle) ซึ่งจะใช้เป็นโครงร่างใน
การออกแบบสถาปตั ยกรรมองคก์ ร

2) วิสัยทัศน์สถาปัตยกรรม (Architecture Vision) : อธิบายถึงกิจกรรมในขั้นต้นของการพัฒนาสถาปัตยกรรม
ซึ่งประกอบไปด้วย การกำหนดขอบเขตของการพัฒนา (Scope) ระบุผู้ที่มีส่วนได้ส่วนเสียต่อการพัฒนา
(Stakeholders) การปรบั ปรงุ หลกั การสถาปตั ยกรรมท่ีได้รบั มาจากขน้ั ต้น การจัดทำวิสัยทัศน์สถาปัตยกรรม
(Architecture Vision) ซงึ่ เป็นการอธิบายพอสังเขปของสถาปตั ยกรรมองค์กรในอนาคตและบอกถงึ ประโยชน์
ทีจ่ ะได้รบั จากความสำเร็จของการพัฒนาสถาปตั ยกรรม

3) สถาปัตยกรรมธุรกิจ (Business Architecture) : อธิบายการพัฒนาสถาปัตยกรรมด้านธุรกิจเพื่อสนับสนุน
วิสัยทัศน์สถาปัตยกรรมตามท่ไี ดร้ ะบไุ ว้ในขน้ั ตอนกอ่ นหนา้

4) สถาปัตยกรรมระบบสารสนเทศ (Information System Architecture) : อธิบายการพัฒนาสถาปัตยกรรม
ดา้ นระบบสารสนเทศเพอ่ื สนับสนุนวสิ ยั ทัศน์สถาปตั ยกรรม

5) สถาปัตยกรรมด้านเทคโนโลยี (Technology Architecture) : อธิบายการพัฒนาสถาปัตยกรรมด้าน
เทคโนโลยเี พ่ือสนับสนุนวิสัยทัศนส์ ถาปตั ยกรรม

6) โอกาสและแนวทางการแก้ปัญหา (Opportunities and Solution) : วางแผนในการดำเนินการพัฒนา
สถาปตั ยกรรมในด้านตา่ งๆตามท่รี ะบุไว้ พรอ้ มทงั้ กำหนดรอบหรือระยะเวลาการส่งมอบงานตามแผนงาน

7) การวางแผนการเปลย่ี นแปลง (Migration Planning) : ให้รายละเอียดในการพฒั นาสถาปตั ยกรรมเพื่อเปลี่ยน
จากสถาปัตยกรรมปัจจุบัน ( Baseline/Current Architecture) ไปสู่สถาปัตยกรรมเป้า หมาย
(Target/Future Architecture)

8) การกำกับดูแลการดำเนินการ (Implementation Governance) : เป็นการกำกับดูแลการพัฒนาโครงการ
หรือกิจกรรมต่างๆให้สอดคล้องกับสถาปัตยกรรมที่ได้ออกแบบไว้ โดยมีขั้นตอนดังนี้ ระบุทรัพยากร
(Resources) และทักษะ (Skill) ที่จำเป็นต่อการพัฒนาโครงการ ให้แนวทางในการนำเอาวิธีการแก้ไขปัญหา
ไปใช้ (Guide for applying solution) ทบทวนความสอดคลอ้ งระหว่างส่ิงที่กำลังพัฒนากับสถาปัตยกรรมที่
ออกแบบไว้ (Compliance Review)

9) การจดั การการเปล่ยี นแปลงสถาปตั ยกรรม (Architecture Change Management) : เป็นการบริหารจัดการ
เมอ่ื เกิดการเปล่ียนแปลงต่อสถาปัตยกรรมองค์กร

ที่มา : สถาปตั ยกรรมองคก์ รของ สำนกั งานรัฐบาลอิเลก็ ทรอนกิ ส์ (องค์การมหาชน) e-Governmant Agency (EGA)

หน้า 5-20

ค่มู อื การประเมนิ ผลการดำเนินงานรฐั วสิ าหกิจ (ฉบบั ปรบั ปรุง ปี 2565)
ตามระบบประเมินผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรฐั วสิ าหกิจ (สคร.) กระทรวงการคลงั

รูป EGA Enterprise Reference Model
สถาปตั ยกรรมย่อยและแบบจำลองอา้ งองค์กรของ สรอ. (EGA Enterprise Reference Models)
ประกอบไปด้วย 5 ดา้ น ไดแ้ ก่

• ด้านธุรกิจ (Business)
• ด้านแอปพลเิ คชัน (Application)
• ดา้ นข้อมูล (Data)
• ด้านโครงสรา้ งพ้นื ฐาน (Infrastructure)
• ดา้ นความม่นั คงปลอดภัย (Security)

ที่มา : สถาปตั ยกรรมองคก์ รของ สำนกั งานรัฐบาลอเิ ลก็ ทรอนิกส์ (องค์การมหาชน) e-Governmant Agency (EGA)

หน้า 5-21

คูม่ ือการประเมินผลการดำเนนิ งานรัฐวิสาหกิจ (ฉบบั ปรับปรงุ ปี 2565)
ตามระบบประเมนิ ผลรัฐวิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.) กระทรวงการคลัง

2.2 การบริหารโครงการและการดำเนนิ งานดา้ นเทคโนโลยีดจิ ทิ ลั อย่างมีประสทิ ธิภาพ (Project Management)
(นำ้ หนกั รอ้ ยละ 8)

• กระบวนการบรหิ ารจดั การโครงการ (Project Management) ของรฐั วสิ าหกจิ *

• รัฐวิสาหกิจกำหนดขอบเขตและแนวทางในการบริหารจัดการโครงการ (Project Management) ที่สนองตอบ
ความตอ้ งการของการกำกับดแู ลด้านการบริหารจดั การเทคโนโลยดี ิจิทลั ในระดบั องค์กร โดยครอบคลมุ ถึง
o การบรหิ ารจัดการแผนงานและโครงการ (Programmes and Projects)
o การบริหารจดั การขอ้ กำหนดและความต้องการ (Requirements Definition)
o การบริหารจดั การการระบุและการจดั สร้างกระบวนการแก้ปัญหาแบบเบ็ดเสรจ็ (Solutions
Identification and Build)
o การบริหารจดั การเพือ่ ให้การเปล่ยี นแปลงองคก์ รสมั ฤทธ์ิผล (Organizational Change Enablement)
o การบรหิ ารจัดการการเปล่ยี นแปลง (Changes)
o การบริหารจดั การการยอมรับการเปลีย่ นแปลงและการปรบั เปลยี่ น (Change Acceptance and
Transitioning)

• รัฐวิสาหกิจมีการสื่อสารแนวทางสำหรับการบริหารจัดการโครงการ (Project Management Skills (Knowledge
areas) Communications)

• รัฐวิสาหกิจมีการกำหนดแนวทางการประเมินความสำเร็จของโครงการด้านดิจิทัลที่บรรลุเป้าหมาย/ผลลัพธ์ตามท่ี
กำหนดไว้

• รฐั วสิ าหกิจมกี ารจดั ทำแผนบริหารความเส่ยี งของโครงการ (Project Risk Management Plan)

• รัฐวสิ าหกิจมีการกำหนดเกณฑก์ ารวดั ประสิทธภิ าพของโครงการ (Project performance criteria)

• รัฐวิสาหกจิ มกี ารกำหนดแนวทางในการทบทวนหลังจากการดำเนนิ งานโครงการ (Post-implementation review)

ระดบั 1 เรม่ิ มแี นวทางในการบริหารจดั การโครงการ
ระดับ 2 รัฐวิสาหกิจมีกระบวนการบริหารจัดการโครงการ และแนวปฏิบัติที่กำหนดอย่างครบถ้วนและเป็นระบบ ซ่ึง

ประกอบด้วย
• การบริหารจัดการขอ้ กำหนด และความตอ้ งการ
• การบริหารจัดการการระบุ และการจดั สร้างกระบวนการแก้ปญั หาแบบเบด็ เสร็จ
• การบรหิ ารจัดการเพ่ือให้การเปลีย่ นแปลงองคก์ รสมั ฤทธิ์ผล
• การบริหารจัดการการเปลีย่ นแปลง
• การบรหิ ารจัดการการยอมรบั การเปล่ยี นแปลง และการปรบั เปลี่ยน
• การกำหนดแนวทางการประเมินความสำเร็จของโครงการด้านดิจิทัลทบี่ รรลเุ ป้าหมาย/ผลลพั ธต์ ามที่
กำหนดไว้

หนา้ 5-22

คูม่ อื การประเมินผลการดำเนินงานรฐั วิสาหกจิ (ฉบับปรบั ปรุง ปี 2565)
ตามระบบประเมินผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรัฐวสิ าหกิจ (สคร.) กระทรวงการคลงั

• การจัดทำแผนบริหารความเส่ียงของโครงการ
• การกำหนดเกณฑก์ ารวดั ประสทิ ธิภาพของโครงการ
• การกำหนดแนวทางในการทบทวนหลงั จากการดำเนินงานโครงการ
ระดับ 3 รัฐวิสาหกิจมีการถ่ายทอดกระบวนการบริหารจัดการโครงการ แก่ผู้มีส่วนได้ส่วนเสียที่สำคัญที่เกี่ยวข้องกับ
กระบวนการอย่างครบถ้วน โดยมกี ารแสดงการวิเคราะห์ที่ชัดเจน และ มีการประเมินการรับรู้ของผูม้ ีสว่ นไดส้ ่วน
เสียท่ีสำคญั ท่ีเก่ยี วขอ้ งกบั กระบวนการอย่างครบถว้ น
ระดับ 4 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
บริหารจัดการโครงการ
ระดับ 5 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
บริหารจดั การโครงการ และมีการนำผลลพั ธ์ทส่ี ำคัญของกระบวนการ เขา้ สู่กระบวนการทบทวน การกำกับ
ดแู ลดา้ นการบรหิ ารจัดการดิจิทัล /จัดทำแผนปฏบิ ตั ิการดิจทิ ัลขององคก์ ร (ระยะยาว) มกี ารนำผลที่ได้จาก
การประเมนิ ไปเรยี นรู้ และจัดการความรู้ เพอื่ นำไปปรบั ปรุงและทำนวัตกรรม โดยมีการจดั เก็บความรู้และ
นวัตกรรมท่ไี ด้ลงระบบดจิ ทิ ลั

หมายเหตุ :
* การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับวุฒิภาวะ (Maturity Level) โดยพิจารณาจากการ
จัดการกระบวนการให้มีแนวทางปฏิบัติอย่างเป็นระบบ สามารถทำซ้ำได้ (Repeatable Practice) และเป็น
มาตรฐาน (Standardized Practice) ซึ่งมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กร โดยมีการวัด
วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนำมาปรับปรุงและพัฒนา
กระบวนการอย่างตอ่ เนื่อง

โครงการ (Project) คือ การใช้ความพยายามในช่ัวระยะเวลาหนึ่งเพื่อสร้างสรรคผ์ ลิตภณั ฑ์ บริการ หรือผลลัพธท์ ี่
เป็นเอกลักษณ์ โดยลักษณะชั่วคราวของโครงการน้ันหมายความว่า โครงการจะต้องมีจุดเร่ิมต้น และจุดสิ้นสุดท่ี
ชัดเจน จุดส้ินสุดของโครงการจะเกิด เมื่อโครงการได้บรรลุวัตถุประสงค์ หรือโครงการต้องยุติลงเนื่องจากไม่
สามารถบรรลุวัตถุประสงค์ได้ หรือเมื่อไม่มีความต้องการโครงการนั้นอีกต่อไป โครงการอาจจะถูกยกเลิกหากผู้
ว่าจ้าง (ลูกค้า ผสู้ นับสนุนโครงการ และผ้ขู ับเคลอ่ื นโครงการ) ตอ้ งการยุติโครงการ

ทม่ี า : Project Management Institute. A Guide to the Project Management Body of Knowledge (PMBOK guide 5ed)

หน้า 5-23

คมู่ อื การประเมนิ ผลการดำเนนิ งานรฐั วิสาหกจิ (ฉบบั ปรบั ปรงุ ปี 2565)
ตามระบบประเมินผลรฐั วิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.) กระทรวงการคลงั

Project Management Skills (Knowledge areas)

1. Project Integration Management: This includes all the activities involved in co-ordinating
the different project phases.

2. Project Scope Management: This involves ensuring that the project includes all the work,
and only the work, that is required to complete the project successfully.

3. Project Time Management: This includes everything needed to ensure that the project is
completed by the deadline.

4. Project Cost Management: This involves planning the budget, securing funding, and
controlling costs throughout the project process.

5. Project Quality Management: This involves determining quality policies
6. Project Human Resource Management: This includes everything that relates to leading a

project team.
7. Project Communications Management: This includes everything from communicating with

team members and contractors to reporting, storing, and distributing information.
8. Project Risk Management: This involves conducting risk analyses and controlling risks during

a project’s implementation.
9. Project Procurement Management: This involves securing all the services you need for the

project that lie outside the project team.
10. Project Stakeholders Management: This involves liaising with everyone impacted by the

project, as well as those on whose behalf the project was undertaken. It’s about engaging
with interested parties during the planning, executing, and monitoring of the project.

ที่มา : Project Management Institute. A Guide to the Project Management Body of Knowledge (PMBOK guide 5ed)

5 Stages of Project Management
1. Initiating 2. Planning 3. Executing 4. Monitoring & Controlling 5. Closing

ที่มา : Project Management Institute. A Guide to the Project Management Body of Knowledge (PMBOK guide 5ed)

หน้า 5-24

คู่มอื การประเมินผลการดำเนนิ งานรฐั วสิ าหกจิ (ฉบับปรับปรุง ปี 2565)
ตามระบบประเมินผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรัฐวสิ าหกิจ (สคร.) กระทรวงการคลงั

2.3 การจัดการดา้ นคณุ ภาพ (Quality Management) (นำ้ หนกั รอ้ ยละ 8)

• กระบวนการจัดการดา้ นคณุ ภาพ (Quality Management)

• รัฐวิสาหกิจมีการกำหนดขอบเขตและแนวทางในการสร้างระบบบริหารคุณภาพ ( Quality Management
System)

• รัฐวิสาหกิจมีการกำหนดขอบเขตและแนวทางในการตรวจสอบด้านเทคโนโลยีดิจิทัล (Digital Audit) หรือ
Computer Audit

• รัฐวิสาหกิจมีการสื่อสารแนวทางสำหรับระบบการจัดการด้านคุณภาพ (Quality Management System
(QMS) Communications )

ระดับ 1 เรมิ่ มีแนวทางในการจัดการด้านคณุ ภาพ

ระดับ 2 รัฐวิสาหกิจมีกระบวนการจัดการด้านคุณภาพ และแนวปฏิบัติที่กำหนดอย่างครบถ้วนและเป็นระบบ ซึ่ง
ประกอบด้วย
• กำหนดขอบเขตการจัดการดา้ นคุณภาพ
• กำหนดมาตรฐานการจัดการด้านคุณภาพ โดยมีแนวทางการเลือกเครื่องมือ/เทคนิคการจัดการด้าน
คุณภาพท่ีชดั เจน
• การจดั ทำ Quality Management Plan พร้อมท้ังการกำหนด บทบาท หนา้ ท่ี ความรับผิดชอบ และ
อำนาจการตดั สนิ ใจท่เี ปน็ รูปธรรม
• การจัดทำ QMS Good Practices
• การตรวจสอบด้านดิจิทัล (Digital Audit) หรือ Computer Audit

ระดับ 3 รัฐวิสาหกิจมีการถ่ายทอดกระบวนการจัดการด้านคุณภาพ แก่ผู้มีส่วนได้ส่วนเสียที่สำคัญที่เกี่ยวข้องกับ
กระบวนการอย่างครบถ้วน โดยมกี ารแสดงการวเิ คราะหท์ ่ีชัดเจน และมกี ารประเมนิ การรบั รู้ของ ผู้มีส่วนได้
สว่ นเสยี ทส่ี ำคัญท่ีเกยี่ วข้องกับกระบวนการอย่างครบถ้วน

ระดับ 4 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
จัดการดา้ นคณุ ภาพ

ระดับ 5 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
จัดการด้านคุณภาพ และมีการนำผลลัพธ์ที่สำคัญของกระบวนการ เข้าสู่กระบวนการทบทวน การกำกับ
ดูแลด้านการบริหารจัดการดิจิทัล /จัดทำแผนปฏิบัติการดิจิทัลขององค์กร (ระยะยาว) มีการจัดทำ QMS
Good Practices มีการนำผลที่ได้จากการประเมินไปเรียนรู้ และจัดการความรู้ เพื่อนำไปปรับปรุงและทำ
นวัตกรรม โดยมีการจัดเกบ็ ความรู้และนวัตกรรมท่ไี ด้ลงระบบดิจิทลั

หมายเหตุ :
* การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับวุฒิภาวะ (Maturity Level) โดยพิจารณาจากการ
จัดการกระบวนการให้มีแนวทางปฏิบัติอย่างเป็นระบบ สามารถทำซ้ำได้ (Repeatable Practice) และเป็น
มาตรฐาน (Standardized Practice) ซึ่งมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กร โดยมีการวัด

หนา้ 5-25

คมู่ อื การประเมินผลการดำเนินงานรฐั วิสาหกิจ (ฉบบั ปรบั ปรุง ปี 2565)
ตามระบบประเมินผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรฐั วสิ าหกจิ (สคร.) กระทรวงการคลัง
วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนำมาปรับปรุงและพัฒนา
กระบวนการอย่างตอ่ เน่อื ง

• การวางแผนคณุ ภาพ (Quality planning)
• การประกนั คณุ ภาพ (Quality assurance)
• การควบคมุ คณุ ภาพ (Quality control)

ทมี่ า : Quality Management : Rita Mulchahy’s PMP Exam Prep, Eighth Edition.

หนา้ 5-26

ค่มู ือการประเมินผลการดำเนินงานรัฐวิสาหกจิ (ฉบับปรับปรงุ ปี 2565)
ตามระบบประเมินผลรัฐวสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรัฐวิสาหกจิ (สคร.) กระทรวงการคลงั

ที่มา : Project Management Institute. A Guide to the Project Management Body of Knowledge (PMBOK guide 5ed)

หน้า 5-27

คู่มือการประเมนิ ผลการดำเนินงานรัฐวิสาหกิจ (ฉบับปรับปรงุ ปี 2565)
ตามระบบประเมนิ ผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรฐั วิสาหกิจ (สคร.) กระทรวงการคลงั

3. การบรู ณาการเช่ือมโยงข้อมูลและการดำเนินงานรว่ มกันระหว่างหนว่ ยงาน (Government Integration)
(น้ำหนักร้อยละ 10)

3.1 การออกแบบความเชื่อมโยงและการทำงานร่วมกนั (Enterprise Collaboration and Interoperability Design)
(น้ำหนกั ร้อยละ 7)

• กระบวนการบูรณาการเชื่อมโยงข้อมูลและการดำเนินงานร่วมกันระหว่างหน่วยงาน ( Government
Integration) ของรฐั วิสาหกจิ *

• รัฐวิสาหกิจกำหนดขอบเขตและแนวทางในการนำข้อมูลและการดำเนินการทั้งหมดที่ได้ออกแบบกิจกรรม
กระบวนการ ทรัพยากร ให้มีความชัดเจนเกี่ยวกับการเชื่อมโยง และการทำงานร่วมกัน ทั้งระบบเทคโนโลยีดิจิทัล
โครงสรา้ งสถาปตั ยกรรม กระบวนการ ขอ้ มลู และตารางวัดผล โดยเปน็ การเชื่อมโยงกบั กระบวนการตา่ งๆ

• รัฐวิสาหกิจกำหนดแนวทางการเลอื กคู่ความรว่ มมืออย่างเปน็ รูปธรรม (Partner Selection)
• รัฐวิสาหกิจกำหนดแนวทางปฏิบัติ/แผนงานทเี่ กีย่ วกับการบูรณาการเช่ือมโยงขอ้ มลู และการดำเนนิ งานรว่ มกนั อยา่ ง

เป็นรูปธรรม

ระดับ 1 เร่มิ มแี นวทางในการบูรณาการเชอื่ มโยงขอ้ มลู และการดำเนนิ งานร่วมกนั ระหว่างหน่วยงาน

ระดบั 2 รฐั วิสาหกจิ มีกระบวนการบรู ณาการการเช่ือมโยงข้อมลู และการดำเนนิ งานรว่ มกนั ระหว่างหน่วยงาน และ
แนวปฏบิ ัตทิ ี่กำหนดอย่างครบถว้ นและเปน็ ระบบ ซ่งึ ประกอบดว้ ย
• การกำหนดข้อมลู ขององค์กรทส่ี ามารถเปดิ เผย จัดประเภทข้อมูล/สารสนเทศขององค์กร แลกเปล่ียน
ข้อมูล/เปิดเผยข้อมูลกับหน่วยงานอื่น กำหนดช่องทางการเข้าถึงข้อมูล รวมถึงการสำรวจความพึง
พอใจตอ่ การเขา้ ถึงขอ้ มูลและสารสนเทศ
• รฐั วิสาหกจิ กำหนดแนวทางการเลอื กคคู่ วามร่วมมอื อยา่ งเป็นรูปธรรม (Partner Selection)
• การกำหนดนโยบาย/แนวทางส่งเสริมการทำงานร่วมกันระหว่างหน่วยงานพัฒนาระบบการทำงาน
ร่วมกันระหว่างหน่วยงานภาครัฐ ทบทวนแผนงาน/โครงการ ที่มีความซ้ำซ้อนกันในทุกระดับ เพ่ือ
วางแผนบรู ณาการการทำงานรว่ มกัน โดยกำหนดเป็นแผนปฏิบตั ิการขององค์กรทชี่ ดั เจนเป็นรปู ธรรม

ระดับ 3 รัฐวิสาหกิจมีการถ่ายทอดกระบวนการบูรณาการการเชื่อมโยงข้อมูลและการดำเนินงานร่วมกันระหว่าง
หน่วยงาน แก่ผู้มีส่วนได้ส่วนเสียที่สำคัญที่เกี่ยวข้องกับกระบวนการอย่างครบถ้วน โดยมีการแสดงการ
วิเคราะห์ที่ชัดเจน และมีการประเมินการรับรู้ของ ผู้มีส่วนได้ส่วนเสียที่สำคัญที่เกี่ยวข้องกับกระบวนการ
อยา่ งครบถว้ น

ระดับ 4 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
บูรณาการการเชอ่ื มโยงข้อมูลและการดำเนินงานรว่ มกนั ระหว่างหน่วยงาน

ระดับ 5 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
บูรณาการเชื่อมโยงข้อมูลและการดำเนินงานร่วมกันระหว่างหน่วยงาน และมีการนำผลลัพธ์ที่สำคัญของ
กระบวนการ เข้าสู่กระบวนการทบทวน การกำกับดูแลด้านการบริหารจัดการดจิ ิทัล /จัดทำแผนปฏบิ ตั ิการ
ดิจิทัลขององค์กร (ระยะยาว) มีการนำผลที่ได้จากการประเมินไปเรียนรู้ และจัดการความรู้ เพื่อนำไป
ปรับปรุงและทำนวตั กรรม โดยมกี ารจดั เกบ็ ความรแู้ ละนวัตกรรมท่ไี ด้ลงระบบดิจทิ ัล

หน้า 5-28

คู่มอื การประเมนิ ผลการดำเนินงานรัฐวสิ าหกจิ (ฉบับปรบั ปรงุ ปี 2565)
ตามระบบประเมินผลรัฐวสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรฐั วสิ าหกิจ (สคร.) กระทรวงการคลงั
หมายเหตุ :

* การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับวุฒิภาวะ (Maturity Level) โดยพิจารณาจากการ
จัดการกระบวนการให้มีแนวทางปฏิบัติอย่างเป็นระบบ สามารถทำซ้ำได้ (Repeatable Practice) และเป็น
มาตรฐาน (Standardized Practice) ซึ่งมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กร โดยมีการวัด
วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนำมาปรับปรุงและพัฒนา
กระบวนการอยา่ งต่อเนือ่ ง

วสิ ยั ทศั น์ : รฐั บาลดจิ ิทลั (Digital Government)
"ใน 3 ปีข้างหน้า ภาครัฐไทยจะยกระดับสู่การเป็นรัฐบาลดิจิทัล ที่มีการบูรณาการระหว่างหน่วยงาน มีการดำเนินงาน
แบบอจั ฉริยะ ใหบ้ ริการโดยมปี ระชาชนเปน็ ศูนย์กลาง และขับเคล่ือนให้เกิดการเปลย่ี นแปลงได้อยา่ งแท้จริง"

คณะรัฐมนตรไี ด้มมี ติเหน็ ชอบแผนพฒั นารฐั บาลดจิ ทิ ลั ระยะ 3 ปี (พ.ศ. 2559-2561)
ตามทก่ี ระทรวงเทคโนโลยีสารสนเทศและการสอ่ื สาร (ทก.) เสนอ เมือ่ วันที่ 5 มนี าคม 2559

หน้า 5-29

คมู่ ือการประเมินผลการดำเนนิ งานรัฐวสิ าหกิจ (ฉบับปรบั ปรุง ปี 2565)
ตามระบบประเมนิ ผลรัฐวิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรัฐวสิ าหกิจ (สคร.) กระทรวงการคลัง

ภาครัฐท่ีเปิดกวา้ งและเชื่อมโยงกนั ภาครัฐที่ยึดประชาชนเปน็ ศูนย์กลาง ภาครัฐทม่ี ขี ีดสมรรถนะสงู และ
ทนั สมยั
• Strategic thinking • Responsiveness
• Public data accessibility • Demand driven • Digitalization
• Public shared service • Public accessibility • Innovation
• Cost competitiveness • Result oriented • Workforce capability
• End to end process driven • Service improvement • Problem solving
• Public accountability & • Service personalization • Agility
• Happy citizen
transparency

หนา้ 5-30

คู่มอื การประเมนิ ผลการดำเนนิ งานรัฐวสิ าหกจิ (ฉบบั ปรับปรุง ปี 2565)
ตามระบบประเมนิ ผลรัฐวิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรฐั วิสาหกจิ (สคร.) กระทรวงการคลัง
ขอ้ เสนอการพัฒนาระบบราชการ 4.0 : ขอ้ เสนอการกำหนดหลักเกณฑ์และวิธีการบริหารกจิ การบา้ นเมอื งที่ดี (เพม่ิ เติม)
ประเด็นที่ 1 ระบบบราชการที่เปดิ กวา้ งและเช่อื มโยงกนั

1.1 ระบบราชการท่เี ปดิ กวา้ งและเชือ่ มโยงข้อมลู กนั
- จดั ทำระบบข้อมลู และสารสนเทศ
- วิเคราะหข์ อ้ มูลและสารสนเทศ
- เปดิ เผยข้อมูล สารสนเทศ
- เชื่อมโยงข้อมลู และออกแบบกระบวนการทำงานรว่ มกนั

1.2 การสานพลังการทำงานร่วมกบั ภาคสว่ นอนื่ ๆ ในสงั คม

หน้า 5-31

คู่มือการประเมินผลการดำเนนิ งานรัฐวิสาหกิจ (ฉบับปรบั ปรงุ ปี 2565)
ตามระบบประเมนิ ผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรฐั วสิ าหกิจ (สคร.) กระทรวงการคลัง
ขอ้ เสนอการพฒั นาระบบราชการ 4.0 : ขอ้ เสนอการกำหนดหลักเกณฑแ์ ละวธิ กี ารบรหิ ารกจิ การบ้านเมอื งทดี่ ี (เพ่ิมเติม)
ประเดน็ ที่ 2 ระบบราชการท่ยี ดึ ประชาชนเป็นศนู ย์กลาง มีขีดสมรรถนะสงู และทันสมยั

2.1 การคดิ ค้น พัฒนา ต่อยอด เพ่อื สร้างนวตั กรรมภาครัฐ
2.2 การนำเทคโนโลยสี มยั ใหมโ่ ดยเฉพาะเทคโนโลยีดจิ ทิ ัลมาใช้
2.3 การปรับเปล่ียนกระบวนการทางความคิด
2.4 การสรา้ งความผูกพันของบคุ ลากร

ท่ีมา :
- เอกสารประกอบการบรรยาย e-Government Executive Program การจดั ทำแผนปฏบิ ัตกิ ารเพ่อื บรู ณาการกระบวนงานและข้อมูล

หน่วยงานภาครัฐ ดร.ธนาวชิ ญ์ จินดาประดิษฐ์
- สำนกั งานรัฐบาลอเิ ลก็ ทรอนิกส์ (องค์การมหาชน) e-Governmant Agency (EGA)

หนา้ 5-32

หมายเหตุ : คมู่ อื การประเมินผลการดำเนินงานรฐั วิสาหกจิ (ฉบับปรับปรุง ปี 2565)
ตามระบบประเมนิ ผลรฐั วิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรฐั วสิ าหกจิ (สคร.) กระทรวงการคลัง

คุณลักษณะ 10 ประการของระบบราชการ 4.0

ทม่ี า : เอกสารประกอบการบรรยาย e-Government Executive Program การจดั ทำแผนปฏบิ ตั กิ ารเพอ่ื บรู ณาการกระบวนงานและขอ้ มลู
หน่วยงานภาครฐั ดร.ธนาวชิ ญ์ จนิ ดาประดิษฐ์

4. การกำกับดแู ลขอ้ มลู และการบริหารจัดการข้อมูลขนาดใหญ่ขององค์กร (Data Governance and Big Data
Management) (น้ำหนกั รอ้ ยละ 10)
4.1 การดำเนนิ การดา้ นการกำกบั ดูแลขอ้ มูลและการบริหารจดั การข้อมลู ขนาดใหญ่ขององค์กร
(Data Governance and Big Data Management Implementation) (น้ำหนกั ร้อยละ 10)

• รัฐวิสาหกิจมีการดำเนินการด้านการกำกับดูแลข้อมูลและการบริหารจัดการข้อมูลขนาดใหญ่ขององค์กร
ที่ครอบคลุมถงึ
o กระบวนการกาํ กับดแู ลขอ้ มลู
o โครงสรา้ งการกาํ กับดแู ลขอ้ มูล
o นโยบายข้อมลู และการตรวจสอบ
o การวัดประสิทธิภาพกระบวนการและคุณภาพข้อมลู
o การวดั ความคุ้มทนุ และการปรับปรงุ อย่างต่อเนือ่ ง

• รฐั วิสาหกิจมกี ารกำหนดขอ้ มูลและสารสนเทศที่สำคญั ขององคก์ ร

หน้า 5-33

คมู่ อื การประเมินผลการดำเนินงานรฐั วสิ าหกจิ (ฉบบั ปรับปรงุ ปี 2565)
ตามระบบประเมินผลรฐั วิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรฐั วิสาหกิจ (สคร.) กระทรวงการคลัง

• รัฐวิสาหกิจมีการกําหนดสิทธิ หน้าที่ และความรับผิดชอบของผู้มีส่วนได้ส่วนเสียในการบริหารจัดการข้อมูล
ทกุ ข้ันตอน เพือ่ ใหก้ ารได้มาและการนําไปใช้ขอ้ มูลของหนว่ ยงาน ไดถ้ กู ต้อง แม่นยำ ครบถ้วน เปน็ ปจั จุบัน และ
ใช้งานงา่ ย

ระดบั 1 เรม่ิ มีแนวทางในการกำกับดแู ลข้อมูลและการบริหารจัดการขอ้ มูลขนาดใหญข่ ององคก์ ร
ระดับ 2 รัฐวิสาหกิจมีกระบวนการกำกับดูแลข้อมูลและการบริหารจัดการข้อมูลขนาดใหญ่ขององค์กร

ซ่ึงประกอบด้วย
o กระบวนการกํากบั ดแู ลข้อมลู ทเี่ ปน็ มาตรฐานหนว่ ยงาน
o โครงสรา้ งการกํากบั ดแู ลข้อมลู ท่ีชดั เจน มสี ว่ นงานกลางในการกํากบั ดแู ลซ่งึ ประกอบไปด้วยบคุ คล
ดา้ นธรุ กจิ และไอที
o นโยบายข้อมูลและการตรวจสอบบงั คบั ใชท้ ั้งหนว่ ยงาน
o การวัดประสทิ ธิภาพกระบวนการและคุณภาพข้อมลู
o การวัดความคมุ้ ทุนและการปรบั ปรุงอยา่ งต่อเนื่อง

ระดับ 3 รัฐวิสาหกิจมีการถ่ายทอดกระบวนการกำกับดูแลข้อมูลและการบริหารจัดการข้อมูลขนาดใหญ่ขององค์กร
แกผ่ ูม้ ีสว่ นได้ส่วนเสียท่ีสำคัญท่เี ก่ียวข้องกบั กระบวนการอย่างครบถ้วน โดยมีการแสดงการวิเคราะห์ทช่ี ัดเจน
และมีการประเมินการรบั ร้ขู อง ผู้มีส่วนไดส้ ว่ นเสียทสี่ ำคญั ทเ่ี ก่ียวขอ้ งกบั กระบวนการอย่างครบถ้วน

ระดับ 4 รัฐวสิ าหกิจมกี ารกำหนดการวดั ตดิ ตาม วเิ คราะหป์ ระเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการกำกบั
ดแู ลขอ้ มลู และการบริหารจัดการข้อมลู ขนาดใหญ่ขององค์กร

ระดับ 5 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของ กระบวนการ
กำกับดูแลข้อมูลและการบริหารจัดการข้อมูลขนาดใหญ่ขององค์กร และมีการนำผลลัพธ์ที่สำคัญของ
กระบวนการ เข้าสู่กระบวนการทบทวน การกำกับดูแลด้านการบรหิ ารจัดการดิจิทัล /จัดทำแผนปฏิบัตกิ าร
ดิจิทัลขององค์กร (ระยะยาว) มีการนำผลที่ได้จากการประเมินไปเรียนรู้ และจัดการความรู้ เพื่อนำไป
ปรับปรงุ และทำนวัตกรรม โดยมกี ารจดั เกบ็ ความรู้และนวัตกรรมที่ไดล้ งระบบดจิ ทิ ลั

หน้า 5-34

คมู่ อื การประเมนิ ผลการดำเนินงานรฐั วสิ าหกิจ (ฉบบั ปรบั ปรงุ ปี 2565)
ตามระบบประเมินผลรัฐวสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรฐั วิสาหกิจ (สคร.) กระทรวงการคลัง

หมายเหตุ :

การกำกับดูแลข้อมูล (Data Governance) คือ “การกำหนดสิทธิในการตัดสินใจและความรับผิดชอบ ในการ
ส่งเสริมให้เกิดกระบวนการจัดทำ การใช้งาน และการบริหารจัดการข้อมูล รวมถึงกระบวนการที่กำหนดบทบาท
นโยบาย และมาตรฐาน ที่ช่วยสนับสนุนให้การดำเนินงานเกี่ยวกับข้อมูลมีประสิทธิภาพมากยิ่งขึ้น ซึ่งส่งผลให้
หน่วยงานสามารถบรรลเุ ปา้ หมายได้”

ในมุมมองของภาครัฐ การกำกับดูแลข้อมูล (Data Governance) หมายถึง “การกำหนดสิทธิ หน้าที่และความ
รับผิดชอบของผู้มีส่วนได้ส่วนเสียในการบริหารจัดการข้อมูลทุกขั้นตอน เพื่อให้การได้มาและการนำไปใช้ข้อมูล
ของหน่วยงานภาครฐั ถกู ต้อง ครบถ้วน เป็นปัจจบุ นั รกั ษาความเปน็ สว่ นบุคคล และสามารถเช่ือมโยงกันได้อย่างมี
ประสิทธิภาพและมัน่ คงปลอดภยั โดยใชข้ ้อมลู เปน็ หลักในการขบั เคล่ือนประเทศ เชน่ การใช้ข้อมลู ในการวเิ คราะห์
การตัดสินใจเชิงนโยบาย และการบริหารราชการแผ่นดิน การเพิ่มประสิทธิภาพในการบริการประชาชน การ
เสริมสร้างและผลักดันธุรกิจที่เกิดจากการใช้นวัตกรรมข้อมูล ” ทั้งนี้ Intragovernmental Group on
Geographic Information (IGGI, 2005) ให้องคป์ ระกอบหลักของการกำกบั ดูแลข้อมูลท่ีดี ประกอบไปด้วย

1. มีความมั่นคงปลอดภัยและรักษาความเป็นส่วนบุคคล โดยมีมาตรการในการรักษาความม่ันคงปลอดภัยและ
ความเปน็ สว่ นบุคคล ซึ่งช่วยปอ้ งกันความเสยี หายท่ีจะเกดิ ขึน้ กบั ขอ้ มูลและการละเมดิ สทิ ธิสว่ นบคุ คล

2. มีมาตรการควบคุมและจัดการวงจรชีวิตของข้อมูล ซึ่งประกอบด้วย การประเมินธุรกิจ การกำหนด
ประเภทและแนวทางการแบง่ ประเภทของชุดข้อมลู มีการตรวจสอบอยา่ งต่อเนื่อง ทัง้ การเก็บข้อมูลและ
การทำลายข้อมลู

3. มนี โยบายการใชข้ ้อมูลท่ีชดั เจน โดยกำหนดนโยบายและกฎเกณฑ์ของขอ้ มูลเป็นกรอบสำหรับการบริหาร
จัดการและกำกบั ดแู ลขอ้ มลู

4. มีการกำหนดบทบาทหนา้ ท่ีของเจ้าของข้อมูล โดยกำหนดวธิ กี ารท่ีผ้ดู ูแลขอ้ มูลหรือเจ้าของข้อมูลสามารถ
จัดการ เปลี่ยนแปลง หรือส่งผ่านข้อมูลให้ชัดเจน เพื่อไม่ให้เกิดปัญหาในกรณีที่ชุดข้อมูลหรือฐานข้อมูล
บางแหล่งอาจจะมีผู้ดูแล ผ้ใู ช้งาน หรอื เจา้ ของข้อมูลหลายคนหรอื หลายหนว่ ยงาน

5. ข้อมูลมีเมทาดาตา (Metadata) โดยเมทาดาตาจะช่วยให้ผู้ใช้งานเข้าใจว่าข้อมูลชุดนีค้ ือขอ้ มูลที่เกี่ยวข้อง
กับอะไร สามารถนำไปใช้งานอย่างไร และมีข้อจำกัดอะไร โดยมีมาตรฐานของเมทาดาตาที่เหมาะสมกับ
การใชง้ าน

6. ข้อมูลมีคุณภาพ โดยมีมาตรการในการควบคุมคุณภาพของข้อมูลให้มีคุณภาพสูง ซึ่งจะสนับสนุนให้การ
ดำเนนิ งานของหนว่ ยงานเป็นไปอย่างมีประสิทธภิ าพและประสิทธิผล

ทีม่ า : Data Governance Framework กรอบการกำกบั ดูแลข้อมลู เวอรช์ ัน 1.0, Digital Government Development Agency (DGA)

หนา้ 5-35

คมู่ อื การประเมนิ ผลการดำเนินงานรฐั วิสาหกจิ (ฉบับปรบั ปรงุ ปี 2565)
ตามระบบประเมนิ ผลรฐั วิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรฐั วิสาหกจิ (สคร.) กระทรวงการคลัง

รปู กรอบการกำกับดูแลขอ้ มูล (DATA GOVERNANCE FRAMEWORK)

ท่มี า : Data Governance Framework กรอบการกำกบั ดแู ลขอ้ มลู เวอรช์ ัน 1.0, Digital Government Development Agency (DGA)

รปู กฎหมาย ระเบยี บ ขอ้ บังคบั แนวนโยบาย และแนวปฏบิ ตั ทิ เ่ี กยี่ วขอ้ งกับการกำกับดแู ลข้อมูล

ทีม่ า : Data Governance Framework กรอบการกำกบั ดแู ลขอ้ มลู เวอรช์ นั 1.0, Digital Government Development Agency (DGA)

หน้า 5-36

คมู่ อื การประเมนิ ผลการดำเนนิ งานรฐั วสิ าหกิจ (ฉบบั ปรบั ปรงุ ปี 2565)
ตามระบบประเมนิ ผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรฐั วิสาหกจิ (สคร.) กระทรวงการคลงั

สภาพแวดล้อมของการกำกบั ดูแลขอ้ มูล (Data Governance Environment)

1. กฎหมาย ระเบยี บ ข้อบงั คับ แนวนโยบาย และแนวปฏิบัติ ทเ่ี ก่ยี วขอ้ งกับการกำกับดแู ลข้อมูล
ปจั จุบันกฎหมายที่เก่ียวข้องกับข้อมลู ขา่ วสาร หรือสทิ ธสิ ว่ นบุคคลในประเทศไทย มีประเดน็ ที่อาจส่งผลกระทบ

ต่อหลกั แนวคิดการกำกบั ดูแลข้อมูล ซง่ึ หากหน่วยงานในประเทศไทยต้องการสร้างหรือปรบั ปรุงระบบภายในให้มีการ
กำกับดูแลขอ้ มูล จะตอ้ งพิจารณาประเด็นหลัก ๆ ท่ีเกย่ี วขอ้ งกบั กฎหมาย ดงั ตอ่ ไปนี้

• การเปิดเผยข้อมลู
• การแลกเปลี่ยนขอ้ มลู
• การค้มุ ครองขอ้ มูลส่วนบคุ คล
• การรักษาความลบั
ตวั อย่างเช่น
- รัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. 2560 ในมาตราที่ 59 ได้ระบุวา่ รัฐต้องเปิดเผยข้อมลู หรือข่าวสาร
สาธารณะในครอบครองของหน่วยงานของรัฐที่มิใช่ข้อมูลเกี่ยวกับความมั่นคงของรัฐหรือเป็นความลับของ
ทางราชการ
- พระราชบัญญตั ิ (พ.ร.บ.) ข้อมูลข่าวสารของทางราชการ พ.ศ. 2540
- แนวทางปฏิบตั ิการเปิดเผยข้อมลู ภาครัฐ (Government Open Data Publication Guidelines)
- พระราชบัญญตั ิ (พ.ร.บ.) ข้อมูลข่าวสารของทางราชการ พ.ศ. 2540 กำหนดประเภทข้อมูลท่เี ปิดเผยไดแ้ ละ
เปดิ เผยไม่ได้ ซง่ึ เปน็ สิง่ ท่จี ำเปน็ ต้องมกี ารพิจารณาในกรณที ่ีเปน็ ข้อมลู สว่ นบุคคล เนอื่ งจากข้อมูลท่ีเป็น
ข้อมลู ส่วนบุคคลจำเป็นตอ้ งไดร้ ับการคุ้มครองอย่างมีหลักเกณฑ์
- พระราชบัญญตั ิ (พ.ร.บ.) ค้มุ ครองข้อมลู ส่วนบุคคล พ.ศ. 2562
- ข้อเสนอแนะมาตรฐานด้านเทคโนโลยสี ารสนเทศและการสื่อสารทจี่ ำเปน็ ตอ่ ธรุ กรรมทางอิเลก็ ทรอนกิ ส์
- แนวทางการนำสง่ ขอ้ มลู เข้าระบบ GFMIS-SOE สำหรับรัฐวิสาหกิจ โดยสำนักงานคณะกรรมการนโยบาย
รัฐวิสาหกิจ (สคร.)

2. หลกั การของสภาพแวดล้อมและวัฒนธรรมของหนว่ ยงานทีเ่ อ้ือต่อการมกี ารกำกับดูแลข้อมลู
การกำกับดแู ลขอ้ มลู มีองคป์ ระกอบหลายอย่างท่ีสนับสนนุ ให้เกดิ การกำกับดูแลข้อมูลท่ีดี ในขณะเดียวกันจะต้อง

คำนึงถึงข้อจำกัดที่อาจส่งผลในเชิงลบต่อการปรับเปลี่ยนหรือปฏิรูปให้เกิดการกำกับดูแลข้อมูลในหน่วยงานด้วย
วัฒนธรรมองค์กรและสภาพแวดล้อมเป็นหนึ่งในข้อจำกัดที่อาจส่งผลต่อการเปลี่ยนแปลงในการกำกับดูแลข้อมูล
หน่วยงานได้ เนอ่ื งจากแต่ละหน่วยงานล้วนมีวฒั นธรรมองค์กรและสภาพแวดล้อมที่แตกต่างกนั

ดังนั้นการตระหนักถึงวัฒนธรรมองค์กรและสภาพแวดล้อมที่แตกต่างกนั มีความจำเป็นต่อการกำหนดโครงสร้าง
นโยบาย บทบาทหน้าที่ การดำเนินงานที่เอื้อต่อการกำกับดูแลข้อมูล ตั้งแต่เริ่มต้น นอกจากนี้ยังต้องมีมาตรการ
รองรับกรณีที่มีการปรับเปลี่ยนโครงสร้างองค์กร เน่ืองจากหากมีการปรับเปลี่ยนโครงสร้างองค์กร การกำกับดูแล
ข้อมลู ก็จะเปล่ียนตามไปด้วย

ท่มี า : Data Governance Framework กรอบการกำกับดแู ลขอ้ มูล เวอร์ชนั 1.0, Digital Government Development Agency (DGA)

หน้า 5-37

คมู่ อื การประเมนิ ผลการดำเนินงานรฐั วสิ าหกจิ (ฉบบั ปรบั ปรุง ปี 2565)
ตามระบบประเมินผลรัฐวสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรัฐวสิ าหกจิ (สคร.) กระทรวงการคลงั

รูปตวั อยา่ งโครงสรา้ งการกำกบั ดูแลข้อมูลภายในหนว่ ยงาน

ที่มา : Data Governance Framework กรอบการกำกับดแู ลข้อมูล เวอรช์ ัน 1.0, Digital Government Development Agency (DGA)

หนา้ 5-38

คมู่ อื การประเมนิ ผลการดำเนนิ งานรัฐวสิ าหกิจ (ฉบับปรับปรงุ ปี 2565)
ตามระบบประเมินผลรัฐวสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรฐั วสิ าหกิจ (สคร.) กระทรวงการคลงั

รูประดบั ความพร้อมของการกำกับดแู ลขอ้ มลู

ที่มา : Data Governance Framework กรอบการกำกับดแู ลข้อมูล เวอรช์ นั 1.0, Digital Government Development Agency (DGA)

หนา้ 5-39

คมู่ อื การประเมนิ ผลการดำเนินงานรฐั วสิ าหกิจ (ฉบบั ปรบั ปรงุ ปี 2565)
ตามระบบประเมนิ ผลรัฐวสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรฐั วสิ าหกจิ (สคร.) กระทรวงการคลงั

5. การบริหารความม่ันคงปลอดภัยสารสนเทศ (Information Security Management) (นำ้ หนกั รอ้ ยละ 10)

5.1 การบริหารจดั การความมั่งคงปลอดภัยสารสนเทศ (Information Security Management) ขององคก์ ร
(นำ้ หนักร้อยละ 4)

• กระบวนการบริหารจัดการความมั่งคงปลอดภัยสารสนเทศ (Information Security Management) ของ
รัฐวสิ าหกจิ *

• รฐั วสิ าหกิจมีการกำหนดนโยบายหรือแผนการบริหารจัดการความม่ันคงปลอดภยั สารสนเทศครอบคลุมประเด็น
ดังน้ี

1. การบริหารจดั การทรัพย์สนิ ด้านเทคโนโลยีสารสนเทศ (IT asset management)
2. การรกั ษาความมน่ั คงปลอดภัยของขอ้ มลู สารสนเทศ (Data and Information security)
3. การควบคมุ การเขา้ ถงึ (Access control)
4. การรักษาความม่ันคงปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical and environmental security)
5. การรักษาความม่นั คงปลอดภัยของระบบเครือขา่ ยส่อื สาร (Communications security)
6. การรักษาความมั่งคงปลอดภยั ในการปฏบิ ัติงานด้านเทคโนโลยสี ารสนเทศ (IT operations security)
7. การจัดหาและการพฒั นาระบบเทคโนโลยีสารสนเทศ (System acquisition and development)
8. การบริหารจัดการเหตุการณ์ผิดปกติและปัญหาด้านเทคโนโลยีสารสนเทศ (IT incident and problem

management)
9. การจัดทำแผนฉุกเฉนิ ด้านเทคโนโลยสี ารสนเทศ (IT Contingency Plan)
10. การบริหารจัดการผู้ให้บรกิ ารภายนอก (Third party management)
11. การปอ้ งกนั โปรแกรมไมป่ ระสงค์ดี (Malicious Software Prevention)
12. การรกั ษาความมน่ั คงปลอดภัยเว็บไซตแ์ ละการใชง้ านอินเตอรเ์ น็ท (Website and Internet Security)
13. การรักษาความปลอดภยั ในอปุ กรณท์ ่ีใชป้ ฏิบตั ิงาน (Endpoint Security)
14. การบริหารจัดการการเข้ารหัสข้อมูลสารสนเทศ (Cryptography) และการบริหารจัดการกุญแจ (Key

management)
• รัฐวิสาหกิจมีการสื่อสารนโยบายหรือแผนการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information

Security Management) ขององคก์ ร

• รัฐวิสาหกิจมีการกำหนดแนวทางหรือวิธีการวัดประสิทธิผลของการบริหารความมั่นคงปลอดภัยสารสนเทศ
(Information Security Management) ขององค์กร

ระดับ 1 เร่ิมมแี นวทางในการบริหารจัดการความมั่งคงปลอดภัยสารสนเทศ

ระดับ 2 รัฐวิสาหกิจมีกระบวนการบริหารจัดการความมั่งคงปลอดภัยสารสนเทศ และแนวปฏิบัติที่กำหนดอย่าง
ครบถว้ นและเปน็ ระบบ ซง่ึ ประกอบดว้ ย
• การบรหิ ารจัดการทรัพย์สนิ ด้านเทคโนโลยสี ารสนเทศ
• การรักษาความม่นั คงปลอดภยั ของขอ้ มูลสารสนเทศ

หน้า 5-40

คมู่ อื การประเมนิ ผลการดำเนินงานรัฐวสิ าหกจิ (ฉบับปรับปรงุ ปี 2565)
ตามระบบประเมนิ ผลรัฐวิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรฐั วิสาหกจิ (สคร.) กระทรวงการคลงั

• การควบคุมการเข้าถงึ
• การรกั ษาความมน่ั คงปลอดภยั ทางกายภาพและสภาพแวดลอ้ ม
• การรกั ษาความมัน่ คงปลอดภยั ของระบบเครอื ขา่ ยส่ือสาร
• การรกั ษาความมงั่ คงปลอดภยั ในการปฏบิ ัตงิ านด้านเทคโนโลยสี ารสนเทศ
• การจดั หาและการพฒั นาระบบเทคโนโลยสี ารสนเทศ
• การบรหิ ารจดั การเหตกุ ารณ์ผิดปกตแิ ละปัญหาดา้ นเทคโนโลยีสารสนเทศ
• การจัดทำแผนฉุกเฉนิ ด้านเทคโนโลยสี ารสนเทศ
• การบรหิ ารจดั การผู้ให้บริการภายนอก
• การปอ้ งกนั โปรแกรมไมป่ ระสงคด์ ี
• การรักษาความม่นั คงปลอดภยั เว็บไซตแ์ ละการใช้งานอินเตอร์เนท็
• การรกั ษาความปลอดภยั ในอุปกรณ์ท่ีใช้ปฏิบตั งิ าน
• การบริหารจัดการการเข้ารหัสขอ้ มลู สารสนเทศและการบรหิ ารจดั การกุญแจ
ระดับ 3 รัฐวิสาหกิจมีการถ่ายทอดกระบวนการบริหารจัดการความมั่งคงปลอดภัยสารสนเทศ แก่ผู้มีส่วนได้ส่วนเสยี ที่
สำคัญที่เก่ียวข้องกบั กระบวนการอย่างครบถ้วน โดยมีการแสดงการวิเคราะห์ที่ชัดเจน และมีการประเมินการรับรู้
ของผูม้ สี ่วนได้สว่ นเสยี ทส่ี ำคัญท่ีเก่ียวข้องกับกระบวนการอย่างครบถว้ น
ระดับ 4 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
บรหิ ารจดั การความมง่ั คงปลอดภยั สารสนเทศ
ระดับ 5 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
บริหารจัดการความมั่งคงปลอดภัยสารสนเทศ และมีการนำผลลัพธ์ที่สำคัญของกระบวนการ เข้าสู่
กระบวนการทบทวนการกำกับดูแลด้านการบริหารจัดการดิจิทัล /จัดทำแผนปฏิบัติการดิจิทัลขององค์กร
(ระยะยาว) มีการนำผลที่ได้จากการประเมินไปเรียนรู้ และจัดการความรู้ เพื่อนำไปปรับปรุงและทำ
นวตั กรรม โดยมกี ารจัดเกบ็ ความรู้และนวตั กรรมทไี่ ดล้ งระบบดิจิทลั

หมายเหตุ :
* การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับวุฒิภาวะ (Maturity Level) โดยพิจารณาจากการ
จัดการกระบวนการให้มีแนวทางปฏิบัติอย่างเป็นระบบ สามารถทำซ้ำได้ (Repeatable Practice) และเป็น
มาตรฐาน (Standardized Practice) ซึ่งมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กร โดยมีการวัด
วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนำมาปรับปรุงและพัฒนา
กระบวนการอยา่ งต่อเนอ่ื ง

หนา้ 5-41

คูม่ อื การประเมนิ ผลการดำเนินงานรัฐวสิ าหกจิ (ฉบับปรบั ปรงุ ปี 2565)
ตามระบบประเมินผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรฐั วิสาหกจิ (สคร.) กระทรวงการคลัง

ความมั่นคงปลอดภัยด้านสารสนเทศ (information security) คือ การธํารงไว้ซ่ึงความลับ (confidentiality)
ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของสารสนเทศ รวมทั้งคุณสมบัติอ่ืน
ได้แก่ความถูกต้องแท้จริง (authenticity) ความรับผิด (accountability) การห้ามปฏิเสธความรับผิด (non-
repudiation) และความน่าเชอื่ ถือ (reliability)

เทคโนโลยีสารสนเทศ (Information Technology - IT) คือ เทคโนโลยีสารสนเทศที่นำมาใช้ในการดำเนิน
ธุรกิจ ซึ่งครอบคลุมถึงข้อมูล ระบบปฏิบัติการ (operating system) ระบบงาน (application system) ระบบ
ฐานข้อมูล (database system) อุปกรณ์คอม พิว เตอร์ (hardware) และระบบเครือข่า ยสื ่ อส า ร
(communication) เป็นตน้

การรกั ษาความม่นั คงปลอดภัยดา้ นเทคโนโลยสี ารสนเทศ (IT security)

นโยบายการรักษาความมนั่ คงปลอดภัยด้านเทคโนโลยสี ารสนเทศ ต้องจัดทำระเบียบวิธปี ฏิบตั ิและกระบวนการใน
การรกั ษาความมนั่ คงปลอดภยั ดา้ นเทคโนโลยีสารสนเทศ โดยครอบคลุมอย่างน้อยในเรอ่ื งดงั ตอ่ ไปนี้

(1) การบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ (IT asset management) ต้องจัดให้มีการบริหาร
จัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศที่เหมาะสม โดยต้องมีการจัดทำทะเบียนรายการทรัพย์สินด้าน
เทคโนโลยีสารสนเทศ เพื่อให้สามารถระบุรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศได้อย่างครบถ้วน และ
สามารถนำไปใช้ในการกำหนดแนวทางการรกั ษาความม่นั คงปลอดภยั ด้านเทคโนโลยสี ารสนเทศได้อยา่ งเหมาะสม
รวมถึงต้องจัดให้มีการบำรุงรักษาทรัพย์สินด้านเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ เพื่อให้มีความพร้อมใช้งาน
และสามารถรองรบั การดำเนินธรุ กจิ ไดอ้ ย่างต่อเน่ือง

(2) การรักษาความม่นั คงปลอดภัยของข้อมลู (information security) ต้องจัดใหม้ กี ารรักษาความม่ันคงปลอดภัย
ของขอ้ มูล ทั้งในการรับส่งขอ้ มูลผา่ นเครือข่ายสอ่ื สารและการจัดเกบ็ ข้อมูลบนระบบงานและสื่อบันทึกข้อมูลต่าง ๆ
มีการจัดชั้นความลับของข้อมูล (information classification) มีการเก็บรักษาและทำลายข้อมูลให้เหมาะสมกับ
ชั้นความลบั และมกี ารบริหารจัดการการเข้ารหัสข้อมูล (cryptography) ท่เี ชื่อถือไดแ้ ละเป็นมาตรฐานสากล เพ่ือ
รักษาความม่ันคงปลอดภยั และความลับของขอ้ มูล

(3) การควบคุมการเข้าถึง (access control) ต้องจัดให้มีการควบคุมการเข้าถึงระบบปฏิบัติการตัวตนตามสิทธิที่
กำหนดไว้ ตามความจำเป็นในการใช้งานและระดับความเสี่ยง เพื่อป้องกันการเข้าถึงและเปลี่ยนแปลงระบบหรอื
ข้อมลู โดยผทู้ ี่ไม่มีสิทธหิ รอื ไมไ่ ดร้ ับอนุญาต

หน้า 5-42

ค่มู อื การประเมนิ ผลการดำเนินงานรัฐวสิ าหกจิ (ฉบบั ปรับปรงุ ปี 2565)
ตามระบบประเมนิ ผลรัฐวิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรัฐวสิ าหกจิ (สคร.) กระทรวงการคลงั

(4) การรักษาความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม (physical and environmental security)
ต้องจัดให้มีการรักษาความมั่นคงปลอดภัยของศูนย์คอมพิวเตอร์ สถานที่ปฏิบัติงานที่เกี่ยวข้องกับเทคโนโลยี
สารสนเทศ และพื้นที่ที่เกี่ยวข้องกับเทคโนโลยสี ารสนเทศที่สำคัญ รวมทั้งมีระบบการป้องกันและกระบวนการใน
การบำรงุ รักษาอุปกรณค์ อมพิวเตอร์ และระบบสาธารณปู โภค (facility) ท่เี ก่ียวขอ้ งกับเทคโนโลยสี ารสนเทศ เพื่อ
ป้องกนั ความเสยี หายท่ีอาจเกดิ ข้ึน จากการบกุ รกุ หรือจากภัยธรรมชาติ และใหม้ ีความพร้อมใชง้ านสามารถรองรับ
การดำเนินธรุ กิจอย่างตอ่ เน่ือง

(5) การรกั ษาความมนั่ คงปลอดภยั ของระบบเครือข่ายสือ่ สาร (communications security) ต้องจัดใหม้ กี ารรกั ษา
ความมน่ั คงปลอดภัยของระบบเครือขา่ ยส่ือสาร เพ่ือให้ระบบเครือข่ายสื่อสารและขอ้ มลู ที่มีการรบั ส่งผา่ นเครือข่าย
สอ่ื สารมคี วามมัน่ คงปลอดภัย และสามารถป้องกนั การบุกรกุ หรอื ภยั คุกคามทอี่ าจเกดิ ข้ึน

(6) การรกั ษาความม่นั คงปลอดภยั ในการปฏบิ ตั ิงานด้านเทคโนโลยสี ารสนเทศ (IT operations security) ต้องจัด
ให้มีการรักษาความมั่นคงปลอดภัยในการปฏิบัติงาน ด้านเทคโนโลยีสารสนเทศ เพื่อให้การปฏิบัติงานด้าน
เทคโนโลยสี ารสนเทศมีความม่ันคงปลอดภยั โดยตอ้ งครอบคลมุ อย่างนอ้ ยในเรือ่ งดงั ตอ่ ไปนี้

(6.1) การบรหิ ารจัดการขดี ความสามารถของระบบ และระบบสาธารณปู โภค (capacity management)
(6.2) การรักษาความมั่นคงปลอดภัยของเครื่องแม่ข่าย (server) และอุปกรณ์ที่ใช้ปฏิบัติงานของผู้ใช้เทคโนโลยี
สารสนเทศ (endpoint)
(6.3) การสำรองข้อมลู (data backup) ดว้ ยวธิ กี ารและระยะเวลาทีเ่ หมาะสม
(6.4) การจัดเกบ็ ขอ้ มลู บนั ทึกเหตกุ ารณ์ (logging) ของเครื่องแม่ขา่ ย ระบบงาน และอปุ กรณเ์ ครือข่ายท่สี ำคัญ
(6.5) การตดิ ตามดแู ลระบบและเฝ้าระวังภัยคกุ คาม (security monitoring)
(6.6) การบรหิ ารจดั การชอ่ งโหว่ (vulnerability management) ของระบบท่ีเหมาะสมตามระดบั ความเสี่ยง
(6.7) การทดสอบเจาะระบบ (penetration test) โดยจัดให้มีผู้เชี่ยวชาญภายในหรือภายนอกที่มคี วามเป็นอิสระ
ทำหนา้ ทท่ี ดสอบเจาะระบบ สม่ำเสมออย่างนอ้ ยปีละ 1 ครัง้
(6.8) การบริหารจัดการการเปล่ียนแปลง (change management) โดยจดั ให้มีกระบวนการในการบรหิ ารจัดการ
การเปลี่ยนแปลงและควบคมุ การเปลยี่ นแปลงอยา่ งรัดกมุ และเพยี งพอ
(6.9) การบรหิ ารจัดการการตัง้ คา่ ระบบ (system configuration management) โดยจัดใหม้ กี ระบวนการในการ
ควบคุมการตั้งค่าของระบบที่ใช้งานจริง และมีการสอบทาน การตั้งค่าอย่างสม่ำเสมอ เพื่อป้องกันข้อผิดพลาดใน
การปฏบิ ัติงาน
(6.10) การบริหารจัดการ patch (patch management) โดยจัดให้มีกระบวนการในการควบคุมการติดต้ัง
patch ของระบบที่ใช้งานจริง เพื่อให้สามารถติดตั้ง patch ที่สำคัญ ในการรักษาความมั่นคงปลอดภัยได้อย่าง
ทนั การณ์

หน้า 5-43

คู่มือการประเมินผลการดำเนินงานรัฐวิสาหกิจ (ฉบับปรับปรงุ ปี 2565)
ตามระบบประเมินผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรฐั วิสาหกิจ (สคร.) กระทรวงการคลัง

(7) การจดั หาและการพัฒนาระบบ (system acquisition and development)

(7.1) การจัดหาระบบ (system acquisition) ตอ้ งกำหนดหลกั เกณฑท์ ีช่ ดั เจนและเหมาะสมในการคัดเลือกระบบ
และผู้ให้บริการ เช่น ความน่าเชื่อถือของระบบและผู้ให้บริการ การได้รับการรับรองตาม มาตรฐานสากลหรือ
มาตรฐานด้านเทคโนโลยีสารสนเทศท่ีเกี่ยวข้องที่ได้รับการยอมรับโดยทั่วไป (certificate) ความมั่นคงปลอดภัย
ของระบบ การสนับสนุนและการบำรุงรักษาระบบ เพื่อให้มั่นใจว่าระบบและผู้ให้บริการสามารถตอบสนองต่อ
ความต้องการในการดำเนินธุรกิจได้ รวมถึงต้องคำนึงถึงความยืดหยุ่นในการเปลี่ยนแปลงผู้ให้บริการ การ
เปลยี่ นแปลงเทคโนโลยี หรอื การเปลี่ยนแปลงกลยทุ ธ์ในการดำเนนิ ธรุ กิจในอนาคต

(7.2) การพัฒนาระบบ (system development) ต้องจัดให้มีการออกแบบ พัฒนา และทดสอบ ระบบ เพื่อให้
มั่นใจว่าระบบมีความถูกต้อง มั่นคง/ปลอดภัย เชื่อถือได้ พร้อมใช้งาน และมีความยืดหยุ่น เพียงพอที่จะรองรับการ
ปรบั ปรงุ เปลี่ยนแปลงระบบในอนาคต โดยอยา่ งน้อยตอ้ งประกอบไปดว้ ยเรอ่ื งดงั ตอ่ ไปนี้

– เอกสารรายละเอียดคณุ สมบัตทิ างเทคนิค (technical specification)
– กระบวนการหรือเครื่องมือในการควบคุมเวอร์ช่ันของคำสั่ง ในการเขียนโปรแกรม (source code version
control)
– การแบง่ แยกบทบาทหน้าทแ่ี ละความรบั ผิดชอบของผทู้ ่ีเกีย่ วขอ้ งในกระบวนการพฒั นาระบบ
– การแบ่งแยกสภาพแวดล้อมของระบบงานที่ใช้สำหรับการพัฒนา (development) และการทดสอบ (testing)
ออกจากระบบงานทีใ่ ห้บริการจรงิ (production)
– การทดสอบระบบก่อนการใช้งานจรงิ
– การพฒั นาหรือการเปล่ียนแปลงระบบทเี่ กย่ี วขอ้ งกบั การใหบ้ รกิ ารหรอื การทำธรุ กรรมทางอเิ ลก็ ทรอนิกส์
สถาบนั การเงนิ ตอ้ งจดั ให้มกี ารทดสอบประสทิ ธิภาพ (performance test)
– แนวทางในการควบคุมการรักษาความม่นั คงปลอดภยั และความลบั ของข้อมลู สำคัญทีน่ ำไปใช้ในการทดสอบ
– การจัดทำคูม่ อื และอบรมผู้ใช้งานระบบและผู้ดแู ลระบบ

(8) การบรหิ ารจัดการเหตกุ ารณผ์ ิดปกตแิ ละปัญหา (IT incident and problem management) ตอ้ งจดั ให้มีการ
บริหารจัดการเหตุการณ์ผิดปกติและปัญหา ที่เกิดจากการใช้เทคโนโลยีสารสนเทศอย่างเหมาะสมและทันท่วงที
โดยมีการบันทึก วิเคราะห์ และรายงานเหตกุ ารณ์ผิดปกติและปัญหา และการแก้ไข ให้คณะกรรมการขององค์กร
คณะกรรมการที่ได้รับมอบหมาย หรือผู้บริหารระดับสูงที่ได้รับมอบหมายทราบในระยะเวลาที่เหมาะสม
นอกจากนี้ ต้องมีการวเิ คราะห์สาเหตุทีแ่ ท้จริง (root cause) ของปัญหาเพือ่ หาแนวทางแก้ไขจากสาเหตทุ ่แี ท้จริง
และป้องกนั ไม่ให้เกดิ เหตุการณผ์ ดิ ปกตซิ ้ำในอนาคต

(9) การจดั ทำแผนฉุกเฉนิ ด้านเทคโนโลยีสารสนเทศ

(9.1) ต้องจัดให้มีคณะทำงานหรือหน่วยงานทีร่ ับผิดชอบในการจัดทำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศอย่าง
เป็นลายลักษณ์อักษรให้เป็นไปตามนโยบายที่กำหนดไว้ และแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศดังกล่าวต้อง
ได้รับอนุมัตโิ ดยคณะกรรมการขององคก์ ร

หนา้ 5-44

คู่มอื การประเมนิ ผลการดำเนินงานรัฐวสิ าหกจิ (ฉบบั ปรบั ปรงุ ปี 2565)
ตามระบบประเมินผลรฐั วิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรฐั วิสาหกจิ (สคร.) กระทรวงการคลัง

(9.2) ในการจัดทำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ ต้องคำนึงถึงลักษณะการดำเนินธุรกิจปริมาณธุรกรรม
ความซับซ้อนของเทคโนโลยีสารสนเทศ และความเสี่ยงที่เกี่ยวข้องในการดำเนินธุรกิจขององค์กร รวมทั้งการ
บริหารความเส่ียงที่อาจเกิดจากเหตุการณ์ ความเสียหายต่าง ๆ และความเสี่ยงทั่วไป เช่น ความเสี่ยงด้าน
ปฏิบัติการ ( operational risk) ความเสี่ยงด้านชื่อเสียง ( reputational risk) และความเสี่ยงอ่ืน
ทีเ่ ก่ยี วขอ้ ง เชน่ ความเส่ียงจากการพง่ึ พาองคก์ รอืน่ ในการดำเนินธุรกิจ (interdependency risk) ความเส่ียงจาก
การกระจุกตวั ของระบบงานหรือทรพั ยากรท่สี ำคญั (concentration risk) และความเสี่ยงท่มี ผี ลกระทบตอ่ องค์กร
ผู้ใชบ้ ริการ และผู้มีส่วนได้เสีย

(9.3) แผนฉุกเฉินด้านเทคโนโลยีสารสนเทศต้องมีความเป็นไปได้ในทางปฏิบัติ สามารถนำมาใช้รองรับความ
เสยี หายที่เกดิ ข้ึนไดจ้ ริง การจัดทำแผนรองรบั การดำเนนิ ธรุ กจิ อย่างต่อเนอ่ื ง (Business Continuity Plan : BCP)
แผนฉกุ เฉนิ ดงั กล่าวควรครอบคลมุ ถึงการกำหนดระยะเวลาในการกู้คนื ระบบ (recovery time objective : RTO)
และระยะเวลาสูงสุดท่ยี อมให้ขอ้ มูลเสียหาย (recovery point objective : RPO) ท่สี อดคล้องกบั ความสำคัญของ
ระบบ รวมทั้งการกำหนดระยะเวลาสูงสุดที่ยอมให้ธุรกิจหยุดชะงัก (maximum tolerance period of
disruption : MTPD) เพื่อรองรับการดำเนินธุรกิจอย่างต่อเน่ืองขององค์กร และรองรับการเกิดเหตุการณ์ผิดปกติ
ต่าง ๆ ที่อาจส่งผลให้เกิดการหยุดชะงักหรือเกิดความเสียหายต่อระบบ เช่น ภัยคุกคามทาง
ไซเบอร์ ภยั ธรรมชาติ เพื่อใหส้ ามารถดำเนนิ การกูร้ ะบบและกลบั สกู่ ารทำงานได้ตามปกตใิ หเ้ รว็ ที่สดุ

(9.4) ต้องจัดทำคู่มือหรือเอกสารประกอบการดำเนินการตามแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ รวมท้ัง
ประชาสัมพันธ์แผนและฝึกอบรมเพื่อให้พนักงานทุกคน ที่มีส่วนเกี่ยวข้องกับการดำเนินการตามแผนฉุกเฉินด้าน
เทคโนโลยสี ารสนเทศมีความเข้าใจและสามารถปฏิบัตติ ามแผนได้

(9.5) ต้องจัดให้มีการทบทวนและทดสอบการปฏิบัติตาม แผนฉุกเฉินด้านเทคโนโลยีสารสนเทศอยา่ งน้อยปีละ 1
ครัง้ และทกุ คร้ังท่มี ีการเปลยี่ นแปลงอยา่ งมีนยั สำคัญ

(9.6) ตอ้ งจัดใหม้ ศี นู ย์คอมพิวเตอร์สำรอง (disaster recovery site) ท่มี คี วามพรอ้ มใช้งานและสามารถปฏบิ ตั ิงาน
ทดแทนได้เมื่อศูนย์คอมพิวเตอร์หลัก (primary site) หยุดชะงัก โดยองค์กรควรพิจารณาให้ศูนย์คอมพิวเตอร์
สำรองอยู่ห่างจากศูนย์คอมพิวเตอร์หลัก เพียงพอที่จะมิให้เกิดปัญหาหรือได้รับผลกระทบในลักษณะเดียวกันใน
ช่วงเวลาเดียวกนั เชน่ ระบบไฟฟา้ ขัดขอ้ ง และภัยธรรมชาติ

หน้า 5-45

คู่มือการประเมนิ ผลการดำเนนิ งานรฐั วสิ าหกจิ (ฉบับปรับปรุง ปี 2565)
ตามระบบประเมนิ ผลรัฐวสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรัฐวิสาหกจิ (สคร.) กระทรวงการคลงั

(10) การบริหารจัดการผู้ให้บริการภายนอก (third party management) ในกรณีที่มีการจัดจ้างผู้ให้บริการ
ภายนอก หรือมีพันธมิตรทางธุรกิจที่มีการเช่ือมตอ่ กับระบบเทคโนโลยีสารสนเทศขององค์กร หรือสามารถเข้าถงึ
ข้อมูลสำคัญขององค์กรหรือของลูกค้าขององค์กรได้ องมีการจัดทำสัญญาหรือข้อตกลง การให้บริการโดยระบุ
หน้าที่ความรับผิดชอบ และเงื่อนไขในการให้บริการอย่างชัดเจน เช่น การทำลายข้อมูลทั้งหมดเมื่อสิ้นสุดสัญญา
หรือเลิกใช้บริการ ความรับผิดชอบตอ่ การรัว่ ไหลของข้อมูลอันเนื่องมาจากการนำข้อมูลไปใชน้ อกเหนอื จากทีร่ ะบุ
ไว้ในสัญญาหรือข้อตกลงการใหบ้ ริการ นอกจากน้ี ในการจัดจ้างผู้ใหบ้ ริการภายนอกหรือมีพันธมิตรทางธุรกจิ ใน
การร่วมพัฒนาหรือให้บริการ ต้องคำนึงถึงความต่อเนื่องในการดำเนินธุรกิจขององค์กร ข้อจำกัดหรือข้อตกลงใน
การเปลี่ยนแปลงผู้ให้บริการภายนอกหรือพันธมิตรทางธุรกิจและการยกเลิกหรือสิ้นสุดสัญญา (exit strategy)
เพ่ือใหส้ ามารถดำเนนิ ธุรกิจได้อย่างต่อเน่อื ง และพร้อมรับการเปลย่ี นแปลงด้านเทคโนโลยที ี่อาจเกดิ ข้ึนในอนาคต

ทม่ี า : หลกั เกณฑก์ ารกำกบั ดูแลความเสีย่ งดา้ นเทคโนโลยสี ารสนเทศ (Information Technology Risk) และแนวปฏบิ ัติในการบรหิ ารความเสีย่ ง
ด้านเทคโนโลยีสารสนเทศ ธนาคารแห่งประเทศไทย

ที่มา : ISO 27001 Solutions

หนา้ 5-46

คู่มอื การประเมนิ ผลการดำเนินงานรฐั วิสาหกจิ (ฉบับปรับปรุง ปี 2565)
ตามระบบประเมินผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรัฐวสิ าหกิจ (สคร.) กระทรวงการคลงั

ความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) คือ ภาพรวมของเครื่องมือ (tools), นโยบาย (policies), แนวคิด
การรักษาความปลอดภัย (security concepts), การรักษาความปลอดภัย (security safeguards), แนวทาง (guidelines),
วธิ กี ารบริหารความเสี่ยง (risk management approaches), การปฏิบตั ิ (actions), การอบรม (training), วธิ ปี ฏบิ ัตทิ เ่ี ป็นเลิศ
(best practices), การรับประกัน (assurance) และเทคโนโลยี (technologies) ที่สามารถปกป้องสภาพแวดล้อมทางไซเบอร์
องคก์ ร และสนิ ทรพั ย์ของผูใ้ ช้งาน ไดแ้ ก่ อุปกรณ์สาหรับเชอ่ื มต่อคอมพิวเตอร์, ขอ้ มูลส่วนตวั , โครงสรา้ งพน้ื ฐาน, แอปพลเิ คช่ัน
, บรกิ าร, ระบบสารสนเทศ และภาพรวมของการส่งผ่านหรอื เก็บขอ้ มูลในไซเบอร์
การรกั ษาความมั่นคงปลอดภยั ของระบบเครอื ขา่ ยสอื่ สาร (Communications Security)
เพื่อให้ รส. มีโครงสร้างของระบบเครือข่ายสื่อสารที่มั่นคงปลอดภัย มีการออกแบบระบบเครือข่ายสื่อสารที่เหมาะสมตาม
มาตรฐานสากล และมีการป้องกันหรอื เฝา้ ระวังการบุกรุกหรอื ภัยคุกคามในรูปแบบต่าง ๆ
1. กำหนดมาตรฐานและระเบียบวธิ ปี ฏบิ ตั ิในการรบั สง่ ข้อมูลผา่ นระบบเครอื ข่ายส่อื สารในองคก์ ร และระหว่างเครือขา่ ยส่ือสาร

ภายในองค์กรกับระบบเครือข่ายสื่อสารภายนอกองค์กรให้มีความมั่นคงปลอดภัย โดยควรจัดให้มีแนวทางป้องกันการ
เปลีย่ นแปลงแก้ไข ทำความเสียหายหรอื เข้าถงึ ข้อมลู โดยไม่ไดร้ บั อนญุ าต และมกี ระบวนการตรวจสอบผ้ใู ช้งานอย่างเขม้ งวด
2. แนวทางการรักษาความมั่นคงปลอดภัยของระบบเครือข่ายสื่อสาร ให้ รส. ปฏิบัติตามแนวปฏิบัติที่ดีสำหรับการควบคุม
ความเสย่ี งของระบบงานเทคโนโลยีสารสนเทศทสี่ นับสนุนธุรกจิ หลัก (IT Best Practices)
การรักษาความปลอดภยั ในอปุ กรณ์ที่ใชป้ ฏบิ ัตงิ าน (Endpoint Security)
เพอ่ื ใหอ้ ุปกรณ์ท่ีใช้ปฏิบตั ิงานมีความปลอดภัยและไม่เป็นช่องทางท่ีทำให้ข้อมูลสำคญั ของ รส. รวั่ ไหลหรือมีการเข้าใช้งาน
โดยไม่ไดร้ ับอนุญาต รส. ต้องมีการดำเนินงานดังนี้
1. กำหนดมาตรฐานและระเบียบวิธีปฏิบัติการรักษาความปลอดภัยในอุปกรณ์ที่ใช้ปฏิบัติงานเป็นลายลักษณ์อักษ ร
ทั้งอุปกรณ์ของ รส. และอุปกรณ์ส่วนตัว (Bring Your Own Device : BYOD) เช่น personal computer, notebook,
tablet, smartphone, removable media เป็นต้น เพื่อให้ รส. มีแนวทางที่ใช้ในการควบคุมความเสี่ยงจากการใช้งาน
อปุ กรณด์ ังกล่าว
2.กำหนด Security Baseline สำหรบั อปุ กรณ์ท่ีใชป้ ฏบิ ัติงานของ รส. เพือ่ ป้องกันความเส่ียงที่อปุ กรณ์เหล่านั้น อาจ
เป็นช่องทางในการแพร่กระจายของโปรแกรมไม่ประสงค์ดี (malware) และการรั่วไหลของข้อมูลสำคัญตามระดับ
ความเส่ยี งทีเ่ หมาะสม โดยอยา่ งนอ้ ยครอบคลุม ดงั น้ี

• ติดตั้งระบบปฏิบัติการและโปรแกรมพื้นฐานที่ใช้ในการปฏิบัติงานบนเครื่องคอมพิวเตอร์ (personal
computer, notebook) โดยมีกระบวนการหรือเครื่องมือในการควบคุมและติดตามไม่ให้ผู้ใช้งาน สามารถติดตั้ง
โปรแกรมอืน่ ๆ นอกเหนือจาก รส. กำหนด

• ติดต้ังโปรแกรมรักษาความปลอดภัย เช่น anti-Virus/ anti-malware, Host-based Intrusion Prevention
System (HIPS) เป็นต้น โดยมีการปรับปรุงประสิทธิภาพของการป้องกันโปรแกรม ไม่ประสงค์ดี (malware)
ใหเ้ พยี งพอและเป็นปัจจุบัน เพ่ือให้เท่าทันในการป้องกันภัยคุกคามใหม่ ๆ

• ควบคมุ ไมใ่ ห้มีการจดั เกบ็ ข้อมูลที่มีระดับช้ันความลับสูงสุดในเครื่องคอมพิวเตอร์ของผู้ใช้งาน แต่หาก มีความ
จำเปน็ ตอ้ งจัดเกบ็ ต้องมกี ารรักษาความปลอดภยั ทร่ี ดั กุมเพียงพอ เชน่ มกี ารเขา้ รหัส เป็นต้น

• มีกระบวนการหรือเครื่องมือในการตรวจจับ (detect) คัดกรอง (filter) สกัดกั้น (block) เพื่อป้องกันข้อมูล
สำคญั ร่ัวไหล (Data Leakage Prevention : DLP)

• จำกดั การเข้าถึง shared drive หรอื shared folder ตามความจำเปน็ ในการใช้งานเท่านั้น

หนา้ 5-47

คมู่ อื การประเมินผลการดำเนนิ งานรัฐวิสาหกิจ (ฉบับปรับปรงุ ปี 2565)
ตามระบบประเมินผลรฐั วิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรฐั วสิ าหกจิ (สคร.) กระทรวงการคลัง

• การควบคุมการใช้งานอินเตอร์เน็ต โดย รส. ควรมีเครื่องมือในการควบคุมให้อุปกรณ์ที่สามารถเชื่อมต่อ
อนิ เตอร์เน็ตเข้าถึงเฉพาะเว็บไซต์ที่ไดร้ บั อนุญาตเท่านั้น รวมถงึ มกี ารจำกัดการดาวน์โหลดหรืออัพโหลดข้อมูล
จากอนิ เตอร์เนต็

• การควบคุมการใช้สื่อบันทึกข้อมูลพกพา (removable media) เช่น กำหนดแนวทางการอนุญาต ให้ใช้งาน
Universal Serial Bus (USB) หรือ external harddisk เปน็ ตน้

• การควบคมุ การใช้ Email เช่น กำหนดแนวทางการใชง้ าน Email เปน็ ต้น
3.มีกระบวนการบรหิ ารจดั การอปุ กรณส์ ว่ นตัว (Bring Your Own Device : BYOD) ตงั้ แตก่ ารลงทะเบยี น การตอ่ อายุ

และการยกเลิกการใชง้ าน BYOD อย่างน้อยครอบคลุมดงั น้ี
• หลักเกณฑก์ ารอนญุ าตใหใ้ ชง้ าน BYOD
• การควบคมุ การใช้ BYOD ในการเข้าถงึ ระบบเครอื ขา่ ยส่ือสาร ระบบงานและขอ้ มลู ของ รส.
• มกี ระบวนการตรวจสอบ วิเคราะห์ และตดิ ตามความเส่ยี งของอปุ กรณ์ที่นำมาใช้งานใน รส. กำหนดรหัสผ่าน

เพือ่ ใช้ในการล็อคหรือปลดล็อคในการเขา้ ถึงอุปกรณ์สว่ นตัว
• กรณีเครื่องคอมพิวเตอร์ (personal computer, notebook) ต้องติดตั้ง anti-virus/ anti-malware หรือ

โปรแกรมตามที่ รส. กำหนด
• ไม่อนุญาตให้อุปกรณ์โทรศัพท์เคลื่อนที่ (tablet, smartphone) ที่ถูกปรับแต่ง (rooted หรือ jailbroken)

ลงทะเบียนใช้งาน BYOD
• ใช้วิธีการพิสูจน์ตัวตนอุปกรณ์ที่เชื่อถือได้ขององค์กร เช่น trusted root certification authorities, digital

certificate เป็นต้น

ทม่ี า : หลกั เกณฑก์ ารกำกับดูแลความเส่ยี งด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) ของสถาบันการเงนิ และแนวปฏิบัติใน
การบรหิ ารความเสยี่ งดา้ นเทคโนโลยีสารสนเทศ ธนาคารแห่งประเทศไทย

หน้า 5-48

คู่มอื การประเมินผลการดำเนนิ งานรัฐวิสาหกจิ (ฉบบั ปรับปรงุ ปี 2565)
ตามระบบประเมินผลรฐั วิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรฐั วิสาหกิจ (สคร.) กระทรวงการคลัง

การรกั ษาความม่นั คงปลอดภัยของข้อมลู (Information Security)
เพื่อให้ รส. มีการรักษาความมั่นคงปลอดภัยและความลับของข้อมูลครอบคลุมการรับส่งข้อมูล ผ่านเครือข่ายสื่อสาร
การจัดเกบ็ หรือใชง้ านบนระบบและสอ่ื บนั ทกึ ข้อมูลต่างๆ
การรักษาความมน่ั คงปลอดภัยของขอ้ มลู (information security)
1. กำหนดให้ผู้เป็นเจ้าของข้อมูล (information owner) รับผิดชอบในการกำหนดผู้ใช้งาน สิทธิการเข้าถึงและการ

ใช้งานขอ้ มูลอย่างปลอดภยั
2. กำหนดหลักเกณฑ์การจัดชั้นความลับของข้อมูล (information classification) โดยควรระบุชั้นความลับของ

ขอ้ มูล (labeling) อย่างชดั เจน
3. กำหนดแนวทางการรักษาความมั่นคงปลอดภัยของข้อมูลที่สอดคล้องตามชั้นความลับ ครอบคลุมข้อมูลที่อยู่บน

อุปกรณ์ที่ใช้ปฏิบัติงาน (data at endpoint) ข้อมูลที่อยู่ระหว่างการรับส่งผ่านเครือข่าย (data in transit)
ขอ้ มูลที่อยู่บนระบบงานและสื่อบันทึกข้อมูล (data at rest)
4. กำหนดแนวทางการควบคุมดูแลรักษาความปลอดภัยส่ือบันทึกข้อมูลระหวา่ งขนส่ง (physical media transfer)
เพ่ือให้มกี ารควบคุมการเข้าถงึ ส่ือท่มี ขี ้อมลู สำคัญในระหว่างการขนสง่
5. กำหนดมาตรฐานและระเบียบวิธีปฏิบัติการทำลายข้อมูล (information disposal) ครอบคลุม ขอบเขต หน้าที่
ความรับผดิ ชอบของหน่วยงานท่ีเก่ียวข้อง วธิ กี ารทำลายข้อมลู ให้สอดคลอ้ งกับระดับความสำคัญของขอ้ มลู โดยมี
กระบวนการควบคุมการทำลายข้อมูลที่ครอบคลุมการอนุมัติจากหน่วยงานเจ้าของข้อมูล ก่อนดำเนินการการ
ควบคุมการทำลายในลักษณะ dual control การสอบทานการปฏิบัติงานโดยหัวหน้างาน รวมทั้งจัดให้มีการ
จัดทำทะเบียนการทำลายข้อมูลสำคัญ โดยระบุผู้รับผิดชอบในการทำลายข้อมูล วันที่ เวลา ชนิดของสื่อบันทึก
ขอ้ มลู serial number และวิธกี ารทีใ่ ชท้ ำลายขอ้ มูล

หน้า 5-49

คมู่ ือการประเมนิ ผลการดำเนนิ งานรฐั วิสาหกิจ (ฉบับปรับปรุง ปี 2565)
ตามระบบประเมนิ ผลรฐั วิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรัฐวิสาหกจิ (สคร.) กระทรวงการคลงั

การบริหารจัดการการเขา้ รหสั ข้อมลู (cryptography)
1. กำหนดมาตรฐานและระเบียบวธิ ีปฏบิ ตั ิการบริหารจัดการการเขา้ รหัสข้อมูล ครอบคลมุ ขอบเขตหน้าที่ความ

รับผิดชอบของหน่วยงานที่เกี่ยวข้อง วิธีการเข้ารหัสข้อมูล (cryptographic algorithm) ที่สอดคล้องตาม
ระดับความสำคัญของขอ้ มลู และการบรหิ ารจัดการกุญแจเขา้ รหสั ข้อมูล (key management)
2. กำหนดใหม้ ีการเขา้ รหัสข้อมูลสำคัญและชอ่ งทางการส่อื สารทใี่ ชร้ ับสง่ ข้อมูลสำคัญกบั ภายนอก
3. วธิ กี ารเขา้ รหัสขอ้ มลู ควรใช้มาตรฐานการเข้ารหัสข้อมูลท่ีเชอื่ ถือไดแ้ ละเป็นมาตรฐานสากล เชน่ การเข้ารหัส
ขอ้ มลู แบบสมมาตร (เช่น AES) การเขา้ รหัสข้อมลู แบบอสมมาตร (เช่น public key cryptography) เป็นต้น
โดยมกี ารทบทวนประสิทธิภาพของวิธกี ารเข้ารหัสขอ้ มลู อยา่ งสม่ำเสมอ เพือ่ ให้มน่ั ใจว่าวธิ กี ารเข้ารหัสข้อมูลท่ี
ใช้งานยังคงมคี วามแข็งแรงเพยี งพอ
4. การบริหารจัดการกุญแจเข้ารหัสข้อมูล (key management) ควรกำหนดกระบวนการที่มีความรัดกุม
ปลอดภยั ครอบคลมุ ตง้ั แตก่ ารสร้างและติดตั้ง การจัดเกบ็ และการยกเลิกกญุ แจเข้ารหสั ขอ้ มูล

การสรา้ งและตดิ ตั้งกุญแจเข้ารหสั ข้อมลู
• มีการควบคุมสภาพแวดลอ้ มในการสร้างรหัสที่มคี วามรัดกุมปลอดภัย เช่น เลือกใช้ผู้ให้บริการออกใบรับรอง

(Certification Authority) ทนี่ า่ เชื่อถอื มขี น้ั ตอนการทำลายหลักฐานทีใ่ ชห้ ลงั จากสร้างกญุ แจแลว้ เสร็จ
• กุญแจเข้ารหัสข้อมูล จะตอ้ งไมม่ พี นกั งานหรือบุคคลใดบคุ คลหนง่ึ รู้รหัสท้ังหมด
• กำหนดขนาดของกุญแจเข้ารหัสข้อมูลที่มีความยาวเพียงพอในการปอ้ งกันการถูกถอดรหสั เช่น การถูกโจมตี

แบบ brute force เปน็ ตน้
• การแลกเปลี่ยนกุญแจต้องผ่านกระบวนการและช่องทางที่ปลอดภัยกำหนดไม่ให้ใช้กุญแจเข้ารหัสข้อมูล

เดียวกันกับหลายระบบงาน

การจดั เก็บกญุ แจเข้ารหสั ข้อมูล
• มีการรักษาความปลอดภัยของกุญแจเข้ารหัสข้อมูลทั้งด้าน physical และ logical โดยใช้อุปกรณ์ รักษา

ความปลอดภยั HSM หรืออปุ กรณ์ทท่ี ำหนา้ ที่ในลักษณะเดียวกนั
• มีการสำรองข้อมูลกุญแจเข้ารหัสข้อมูล โดยวิธีการเก็บรักษากุญแจเข้ารหัสข้อมูลชุดสำรองต้องมีการรักษา

ความปลอดภยั ในระดบั เดียวกับกญุ แจเข้ารหสั ขอ้ มูลชดุ หลัก

การเปลี่ยนและเพิกถอนกญุ แจเข้ารหสั ขอ้ มูล
• กำหนดเกณฑ์และแนวทางในการเปลี่ยนและเพิกถอนกุญแจเข้ารหัสข้อมูล เช่น กรณีกุญแจหมดอายุล้าสมยั

หรือไม่ปลอดภัย เป็นตน้
• กำหนดกระบวนการทำลายกญุ แจ โดยต้องมนั่ ใจวา่ ไมส่ ามารถนำกุญแจนน้ั มาใช้งานได้อกี

หน้า 5-50

คู่มอื การประเมนิ ผลการดำเนินงานรัฐวิสาหกจิ (ฉบบั ปรบั ปรงุ ปี 2565)
ตามระบบประเมนิ ผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรฐั วิสาหกจิ (สคร.) กระทรวงการคลัง

การจดั เกบ็ ขอ้ มลู บันทกึ เหตกุ ารณ์ (logging)
เพื่อให้ รส. มีข้อมูลบันทึกเหตุการณ์ที่ครบถ้วนเพียงพอและปลอดภัย สามารถใช้ติดตาม ตรวจสอบร่องรอยการ
เข้าถึงและการใช้งานระบบหรือข้อมูลของผู้ใช้งาน รวมทงั้ ใชเ้ ป็นหลกั ฐานการทำธุรกรรมทางอิเล็กทรอนิกส์ตามที่
กฎหมายกำหนด
1. มกี ารจัดเกบ็ ข้อมลู บนั ทึกเหตุการณ์ของเคร่ืองแม่ขา่ ย ระบบงาน อปุ กรณเ์ ครือขา่ ยสื่อสารที่สำคัญด้วยวิธีการ
ที่ปลอดภัย โดยมีรายละเอียดที่ครบถ้วนเพียงพอที่จะใช้เป็นหลักฐานในการตรวจสอบที่สามารถระบุตัวบุคคล
ผ้กู ระทำได้ และจัดเกบ็ ย้อนหลังเปน็ ระยะเวลาอยา่ งน้อย 90 วนั หรือตามกฎหมายท่เี ก่ยี วขอ้ งกำหนด

• บันทึกรอ่ งรอยกจิ กรรมการทำธรุ กรรม (transaction log)
• บันทกึ การเข้าถงึ (access log)
• บนั ทึกการดำเนินงาน (activity log) ท่สี ำคญั โดยอย่างนอ้ ยตอ้ งครอบคลมุ

1. การเปลี่ยนแปลงแก้ไขโครงสร้างฐานข้อมูลและการเปลี่ยนแปลงแก้ไขข้อมูล (update/ insert/
delete) ในตารางทสี่ ำคัญ

2. การเปลีย่ นแปลงการตัง้ คา่ ความปลอดภยั ของระบบ
3. การเข้าถงึ object ท่ีสำคญั ของระบบ
4. การเปลยี่ นแปลงแกไ้ ขบัญชแี ละสทิ ธ์ขิ องผู้ใชง้ าน

2. มีการใช้ระบบในการควบคุมค่าเวลาของเครื่องแม่ข่าย ระบบงาน อุปกรณ์เครือข่ายสื่อสารให้ตรงกับ เครื่อง
แม่ข่าย Network Time Protocol : NTP (clock synchronization) เพื่อให้ค่าเวลาในการบันทึก เหตุการณ์มี
ความถูกต้องในลักษณะ real-time ซ่ึงเครือ่ งแมข่ ่าย NTP ตอ้ งรับสัญญาณนาฬกิ าจากแหลง่ ทม่ี ีความนา่ เชอื่ ถอื

3. ข้อมลู การบนั ทึกเหตุการณ์ของอปุ กรณส์ ำคญั ควรจัดเกบ็ ไวท้ ี่เครือ่ งแมข่ ่ายทีแ่ ยกเฉพาะ อย่างน้อยครอบคลุม
access log และ activity log โดยมีการรักษาความปลอดภัยที่รัดกุมเพียงพอในการป้องกันการเปลี่ยนแปลง
แก้ไข หรอื ทำลาย

4. มีการสอบทานบันทึกการเข้าถึง (access Log) และบันทึกการดำเนินงาน (activity log) ของผู้ปฏิบัติงาน
ด้านเทคโนโลยีสารสนเทศท่ีมีสิทธิ์สูงอย่างสม่ำเสมอ เช่น system administrator หรือ system operator เป็น
ต้น เพอ่ื ใหม้ นั่ ใจไดว้ ่าผูป้ ฏิบตั งิ านเข้าถึงและปฏิบตั งิ านตามขอบเขตหน้าที่ที่ไดร้ ับมอบหมาย

ทีม่ า : หลกั เกณฑ์การกำกบั ดูแลความเสย่ี งดา้ นเทคโนโลยสี ารสนเทศ (Information Technology Risk) ของสถาบันการเงนิ และแนวปฏิบัตใิ น
การบรหิ ารความเสี่ยงดา้ นเทคโนโลยสี ารสนเทศ ธนาคารแหง่ ประเทศไทย

หน้า 5-51

คู่มอื การประเมินผลการดำเนินงานรฐั วิสาหกิจ (ฉบับปรบั ปรงุ ปี 2565)
ตามระบบประเมนิ ผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรฐั วสิ าหกิจ (สคร.) กระทรวงการคลัง

5.2 การบรหิ ารจดั การความเสย่ี งด้านความมน่ั คงปลอดภัยสารสนเทศ (Information Security Risk
Management) ขององคก์ ร (นำ้ หนกั ร้อยละ 2.5)

• กระบวนการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Risk
Management) ของรัฐวิสาหกจิ *

• รัฐวิสาหกิจมีการกำหนดปัจจัยภายในและภายนอกที่สอดคล้องกับวัตถุประสงค์และบริบทขององค์กร ซึ่งส่งผล
ต่อความสามารถในการบรรลุผลลัพธ์ตามที่ต้องการของการบริหารจัดการความเสี่ยงด้าน ความมั่นคงปลอดภัย
สารสนเทศขององคก์ ร

• รัฐวิสาหกิจมีนโยบายหรือแผนการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
โดยอย่างนอ้ ยประกอบดว้ ย
1. โครงสร้างองคก์ รและบทบาทหน้าที่ของผู้เก่ยี วข้องในการบริหารความเส่ยี งด้านความมัน่ คงปลอดภัยสารสนเทศ
2. หลกั เกณฑ์ ระเบยี บวิธีปฏิบัติ และกระบวนการในการบริหารความเส่ียงด้านความมั่นคงปลอดภัยสารสนเทศ
ได้แก่
2.1 การประเมนิ ความเสย่ี ง (Risk assessment) ประกอบดว้ ย
- การระบุความเส่ยี ง (Risk identification)
- การวเิ คราะห์ความเสย่ี ง (Risk analysis)
- การประเมินคา่ ความเส่ยี ง (Risk evaluation)
2.2 การจัดการความเสยี่ ง (Risk treatment) เปน็ แนวทางในการจดั การ ควบคมุ และป้องกันความเส่ยี งดา้ น
เทคโนโลยีสารสนเทศ ที่เหมาะสมและสอดคล้องกับผลการประเมินความเสีย่ งด้านความมัน่ คงปลอดภัย
สารสนเทศ
2.3 การติดตามและทบทวนความเสี่ยง (Risk monitoring and review) ควรมีการกำหนดผู้รับผดิ ชอบและ
จัดให้มีกระบวนการในการติดตามตัวชี้วัดความเสี่ยงด้านความม่ันคงปลอดภยั สารสนเทศ ตามที่กำหนด
และทบทวนความเสยี่ งดา้ นความม่นั คงปลอดภัยสารสนเทศ ใหอ้ ยูใ่ นระดับท่ยี อมรับได้
2.4 การรายงานความเสี่ยง (Risk reporting) มีการนำเสนอผลการบริหารแผนความเสี่ยงด้านความมั่นคง
ปลอดภัยสารสนเทศ พร้อมกับการรายงานผลการประเมินและการบริหารจัดการความเสี่ยงด้านความ
มั่นคงปลอดภัยสารสนเทศ โดยเช่ือมโยงกับความเส่ียงในระดับองค์กร

• รัฐวิสาหกิจมีการสื่อสารนโยบายหรือแผนความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information
Security Risk Management) ขององค์กร

• รัฐวิสาหกิจมีการกำหนดแนวทางหรือวิธีการวัดประสิทธิผลของการบริหารความเสี่ยงด้านความมั่นคงปลอดภัย
สารสนเทศ (Information Security Risk Management) ขององคก์ ร

หน้า 5-52

คูม่ ือการประเมินผลการดำเนนิ งานรฐั วิสาหกิจ (ฉบับปรบั ปรุง ปี 2565)
ตามระบบประเมนิ ผลรัฐวิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรฐั วสิ าหกจิ (สคร.) กระทรวงการคลงั

ระดับ 1 เรม่ิ มีแนวทางในการบรหิ ารจัดการความเสีย่ งด้านความมัน่ คงปลอดภัยสารสนเทศ
ระดับ 2 รัฐวิสาหกิจมีกระบวนการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ และแนวปฏิบัติที่

กำหนดอย่างครบถว้ นและเปน็ ระบบ ซึ่งประกอบดว้ ย
• โครงสร้างองค์กร บทบาทหน้าทีข่ องผูเ้ กยี่ วขอ้ งในการบรหิ ารความเสยี่ งดา้ นเทคโนโลยีสารสนเทศ
• การประเมินความเสี่ยง (risk assessment) ประกอบด้วย การระบุความเสี่ยง (risk identification),
การวิเคราะห์ความเสี่ยง (risk analysis), การประเมินค่าความเสี่ยง (risk evaluation) การจัดการ
ความเสยี่ ง (risk treatment) การติดตามและทบทวนความเสย่ี ง (risk monitoring and review)
• การจัดทำ/ทบทวนขอบเขตของระบบบริหารความม่ันคงปลอดภัยสารสนเทศขององค์กร (Scope of
Information Security Management System ) นโยบายการบริหารจัดการความมั่งคงปลอดภัย
ด้านเทคโนโลยีสารสนเทศขององค์กร (Information Security Management System Policy
Statement) และคู่มือหรือแนวปฎิบัติการบริหารจัดการความมั่งคงปลอดภัยด้านเทคโนโลยี
สารสนเทศขององคก์ ร

ระดับ 3 รัฐวิสาหกิจมีการถ่ายทอดกระบวนการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ แก่ผู้มี
ส่วนได้ส่วนเสียที่สำคัญที่เกี่ยวข้องกับกระบวนการอย่างครบถ้วน โดยมีการแสดงการวิเคราะห์ที่ชัดเจน
และมกี ารประเมนิ การรับรู้ของ ผ้มู สี ว่ นไดส้ ว่ นเสยี ทีส่ ำคัญท่ีเกย่ี วข้องกบั กระบวนการอย่างครบถว้ น

ระดับ 4 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
บรหิ ารจัดการความเสีย่ งด้านความมั่นคงปลอดภัยสารสนเทศ

ระดับ 5 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
บริหารจดั การความเสี่ยงดา้ นความมั่นคงปลอดภัยสารสนเทศ และมกี ารนำผลลัพธ์ทีส่ ำคัญของกระบวนการ
เข้าสู่กระบวนการทบทวน การกำกับดูแลด้านการบริหารจัดการดิจิทัล /จัดทำแผนปฏิบัติการดิจิทัลของ
องค์กร (ระยะยาว) มีการนำผลทีไ่ ด้จากการประเมนิ ไปเรียนรู้ และจัดการความรู้ เพื่อนำไปปรับปรุงและทำ
นวัตกรรม โดยมกี ารจดั เก็บความรูแ้ ละนวัตกรรมทีไ่ ดล้ งระบบดจิ ทิ ัล

หมายเหตุ :
* การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับวุฒิภาวะ (Maturity Level) โดยพิจารณาจากการ
จัดการกระบวนการให้มีแนวทางปฏิบัติอย่างเป็นระบบ สามารถทำซ้ำได้ (Repeatable Practice) และเป็น
มาตรฐาน (Standardized Practice) ซึ่งมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วท้ังองค์กร โดยมีการวัด
วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนำมาปรับปรุงและพัฒนา
กระบวนการอย่างตอ่ เนอ่ื ง

หน้า 5-53

คมู่ ือการประเมินผลการดำเนินงานรฐั วสิ าหกิจ (ฉบบั ปรบั ปรงุ ปี 2565)
ตามระบบประเมนิ ผลรฐั วิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรฐั วิสาหกิจ (สคร.) กระทรวงการคลงั

ความเสี่ยงด้านเทคโนโลยีสารสนเทศ คือ ความเสี่ยงท่ีอาจเกดิ ขึน้ จากการใช้เทคโนโลยีสารสนเทศในการดำเนิน
ธุรกิจ ซึ่งจะมีผลกระทบต่อระบบหรือการปฏิบัติงานของรัฐวิสาหกิจ รวมถึงความเสี่ยงที่เกิดจากภัยคุกคามทาง
ไซเบอร์ (cyber threat)
การบรหิ ารความเส่ียงดา้ นเทคโนโลยีสารสนเทศ (IT risk management)
หลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) เพื่อให้ รส.
สามารถบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศได้อย่างมีประสิทธิภาพ ต้องกำหนดนโยบายการบริหาร
ความเสี่ยงด้านเทคโนโลยีสารสนเทศให้ครอบคลุมเรื่องโครงสร้างองค์กรและบทบา ทหน้าที่ของผู้ที่เกี่ยวข้องใน
การบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศและต้องนำนโยบายดังกล่าวมาจัดทำระเบียบวิธีปฏิบัติและ
กระบวนการในการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศของ รส. โดยครอบคลุมอย่างน้อยในเรื่อง
ดงั ต่อไปนี้
(1) การประเมินความเสยี่ ง (risk assessment)
(1.1) การระบุความเสี่ยง (risk identification) ต้องระบุถึงความเสี่ยงด้านเทคโนโลยีสารสนเทศ ซึ่งรวมถึงภัย
คุกคามทางไซเบอร์ และช่องโหว่ต่าง ๆ โดยความเสี่ยงดังกล่าวอาจมีสาเหตุมาจากกระบวนการปฏิบัติงาน
ระบบงาน บคุ ลากร หรอื ปัจจยั ภายนอก
(1.2) การวิเคราะห์ความเสี่ยง (risk analysis) ต้องเข้าใจและวิเคราะห์ความเสี่ยงด้านเทคโนโลยีสารสนเทศ
เพ่อื หาแนวทางในการจัดการความเสยี่ งที่เหมาะสม
(1.3) การประเมินค่าความเสี่ยง (risk evaluation) ต้องประเมินถึงโอกาสที่ความเสี่ยงด้านเทคโนโลยีสารสนเทศ
จะเกิดขึ้นและผลกระทบต่อการปฏิบัติงานและการดำเนินธุรกิจ รวมถึงกำหนดระดับความเสี่ยง ด้านเทคโนโลยี
สารสนเทศท่ยี อมรับได้ (IT risk appetite)
(2) การจัดการความเสี่ยง (risk treatment) ต้องมีแนวทางในการจัดการควบคุม และป้องกันความเสี่ยง
ที่เหมาะสมสอดคล้องกับผลการประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อให้ความเสี่ยงที่เหลืออยู่
(residual risk) อยใู่ นระดบั ความเสย่ี งดา้ นเทคโนโลยสี ารสนเทศที่ยอมรับได้ โดยต้องคำนงึ ถงึ ความสมดลุ ระหว่าง
ต้นทุนในการป้องกันความเสี่ยงและผลประโยชน์ที่คาดว่าจะได้รับ นอกจากนี้ ต้องจัดให้มีการกำหนดดัชนีชี้วัด
ความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT key risk indicators) ที่เกี่ยวข้องกับการดำเนินธุรกิจให้สอดคล้องกับ
ความสำคญั ของเทคโนโลยีสารสนเทศแต่ละงาน เพ่อื ใช้ในการติดตามและทบทวนความเสีย่ ง
(3) การติดตามและทบทวนความเส่ยี ง (risk monitoring and review) ต้องจัดให้มีกระบวนการที่มปี ระสิทธิภาพ
ในการติดตามและทบทวนความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อให้อยู่ภายใต้ระดับความเสี่ยงดา้ นเทคโนโลยี
สารสนเทศที่ยอมรับไดท้ ก่ี ำหนดไว้
(4) การรายงานความเส่ียง (risk reporting) ต้องมกี ารรายงานผลการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
และแนวโน้มของความเสย่ี งด้านเทคโนโลยสี ารสนเทศทีอ่ าจเกดิ ขน้ึ ตอ่ คณะกรรมการของ รส. หรอื คณะกรรมการ
ที่ได้รับมอบหมายในระยะเวลาที่เหมาะสม ทั้งนี้ ต้องจัดให้มีการทบทวนระเบียบวิธีปฏิบัติและกระบวนการ
ในการบรหิ ารความเสีย่ งด้านเทคโนโลยีสารสนเทศ อย่างน้อยปีละ 1 ครั้ง และทุกครั้งที่มีการเปลี่ยนแปลงอย่างมี
นยั สำคัญ

ทีม่ า : หลกั เกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยสี ารสนเทศ (Information Technology Risk) และแนวปฏบิ ตั ิในการบรหิ ารความเสย่ี ง
ด้านเทคโนโลยสี ารสนเทศ ธนาคารแห่งประเทศไทย

หนา้ 5-54

คมู่ อื การประเมนิ ผลการดำเนินงานรฐั วสิ าหกจิ (ฉบบั ปรบั ปรุง ปี 2565)
ตามระบบประเมนิ ผลรัฐวิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรฐั วิสาหกจิ (สคร.) กระทรวงการคลงั

ที่มา : กลต.

การระบุความเสี่ยง

ที่มา : กลต.

หน้า 5-55

คมู่ ือการประเมินผลการดำเนินงานรฐั วิสาหกจิ (ฉบบั ปรับปรงุ ปี 2565)
ตามระบบประเมนิ ผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรัฐวสิ าหกจิ (สคร.) กระทรวงการคลงั

การกำหนดระดับความเสย่ี งที่ยอมรบั ได้

ที่มา : กลต.

การประเมินความเส่ียงด้านเทคโนโลยสี ารสนเทศ

ที่มา : กลต.

หน้า 5-56

คูม่ ือการประเมินผลการดำเนนิ งานรฐั วสิ าหกิจ (ฉบบั ปรบั ปรงุ ปี 2565)
ตามระบบประเมนิ ผลรฐั วสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรัฐวสิ าหกจิ (สคร.) กระทรวงการคลงั

แนวทางการบริหารจดั การด้านเทคโนโลยีสารสนเทศ

ท่มี า : กลต.

การกำหนดวัดช้ีวัดความเส่ียง การตดิ ตาม และรายงานผลการบรหิ ารและจัดการความเสี่ยง

ทีม่ า : กลต.

หน้า 5-57

คมู่ ือการประเมินผลการดำเนนิ งานรัฐวสิ าหกิจ (ฉบับปรบั ปรุง ปี 2565)
ตามระบบประเมินผลรัฐวิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรฐั วิสาหกิจ (สคร.) กระทรวงการคลงั

5.3 การตรวจสอบการบรหิ ารจดั การความม่งั คงปลอดภยั สารสนเทศขององค์กร (Information Security
Management System (ISMS) Audit) (นำ้ หนกั รอ้ ยละ 2.5)

• กระบวนการตรวจสอบการบริหารจัดการความม่ังคงปลอดภัยสารสนเทศขององค์กร (ISMS Audit)*

• รัฐวิสาหกจิ มกี ารตรวจสอบการบริหารจดั การความมั่งคงปลอดภยั สารสนเทศ (ISMS Audit) โดยมีแนวทางดังนี้
1. วางแผน จัดตั้ง นำไปปฏิบัติ และรักษาให้คงไว้ตามแผนการตรวจประเมิน รวมถึงความถี่ วิธีการ หน้าท่ี
ความรับผิดชอบ ข้อกำหนดของการวางแผนและการรายงานผล รวมทั้งให้ความสำคัญกับกระบวนการที่
เกี่ยวข้องและผลการประเมินครงั้ กอ่ น
2. กำหนดเกณฑก์ ารตรวจประเมิน และขอบเขตการประเมนิ แตล่ ะครงั้
3. คดั เลอื กผู้ตรวจประเมนิ และดำเนินการตรวจประเมนิ ทีม่ คี วามเป็นกลางและความเป็นธรรม
4. รายงานผลการตรวจประเมนิ เสนอต่อผ้บู ริหารท่ีเก่ยี วขอ้ งและเกบ็ รักษาเอกสารสนเทศ เพ่อื ใชเ้ ป็นหลักฐาน
แสดงแผนการตรวจประเมินและผลการตรวจประเมนิ

• รัฐวิสาหกิจกำหนดแนวทางหรือวิธีการวัดประสิทธิผลของการตรวจสอบการบริหารจัดการความมั่งคงปลอดภัย
สารสนเทศ (ISMS) ขององค์กร

ระดบั 1 เริ่มมีแนวทางในการตรวจสอบการบรหิ ารจัดการความม่งั คงปลอดภัยสารสนเทศขององค์กร
ระดับ 2 รัฐวิสาหกิจมีกระบวนการตรวจสอบการบริหารจัดการความมั่งคงปลอดภัยสารสนเทศขององค์กร และแนว

ปฏิบัตทิ กี่ ำหนดอย่างครบถ้วนและเปน็ ระบบ ซึง่ ประกอบด้วย
• การวางแผน จดั ต้งั นำไปปฏบิ ตั ิ และรกั ษาใหค้ งไวต้ ามแผนการตรวจประเมิน
• การกำหนดเกณฑ์การตรวจประเมนิ และขอบเขตการประเมินแต่ละคร้ัง
• การคดั เลอื กผู้ตรวจประเมนิ และดำเนินการตรวจประเมนิ ที่มคี วามเป็นกลาง และความเปน็ ธรรม
• การรายงานผลการตรวจประเมินเสนอต่อผบู้ รหิ าร

ระดับ 3 รัฐวิสาหกิจมีการถ่ายทอดกระบวนการตรวจสอบการบริหารจัดการความมัง่ คงปลอดภยั สารสนเทศขององค์กร
แก่ผู้มีส่วนได้ส่วนเสียที่สำคัญที่เกี่ยวข้องกับกระบวนการอย่างครบถ้วน โดยมีการแสดงการวิเคราะห์ที่ชัดเจน
และมีการประเมินการรบั ร้ขู องผูม้ สี ่วนได้สว่ นเสยี ท่ีสำคญั ทเี่ ก่ยี วข้องกบั กระบวนการอย่างครบถว้ น

ระดับ 4 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
ตรวจสอบการบรหิ ารจดั การความมงั่ คงปลอดภัยสารสนเทศขององค์กร

ระดับ 5 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
ตรวจสอบการบริหารจัดการความมั่งคงปลอดภัยสารสนเทศขององค์กร และมีการนำผลลัพธ์ที่สำคัญของ
กระบวนการ เขา้ ส่กู ระบวนการทบทวน การกำกับดแู ลดา้ นการบริหารจดั การดจิ ทิ ลั /จัดทำแผนปฏิบัติการ
ดิจิทัลขององค์กร (ระยะยาว) มีการนำผลที่ได้จากการประเมินไปเรียนรู้ และจัดการความรู้ เพื่อนำไป
ปรบั ปรุงและทำนวตั กรรม โดยมีการจดั เก็บความร้แู ละนวตั กรรมทไี่ ด้ลงระบบดิจิทัล

หนา้ 5-58

คูม่ อื การประเมนิ ผลการดำเนินงานรัฐวสิ าหกิจ (ฉบับปรับปรงุ ปี 2565)
ตามระบบประเมินผลรัฐวสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรัฐวิสาหกจิ (สคร.) กระทรวงการคลัง

หมายเหตุ :
* การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับวุฒิภาวะ (Maturity Level) โดยพิจารณาจากการ
จัดการกระบวนการให้มีแนวทางปฏิบัติอย่างเป็นระบบ สามารถทำซ้ำได้ (Repeatable Practice) และเป็น
มาตรฐาน (Standardized Practice) ซึ่งมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กร โดยมีการวัด
วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนำมาปรับปรุงและพัฒนา
กระบวนการอยา่ งตอ่ เนอ่ื ง

การตรวจสอบภายใน คือ กิจกรรมการให้ความเชื่อมั่นและการให้คำปรึกษาอย่างเที่ยงธรรมและเป็นอิสระเพื่อ
เพิ่มคุณค่าและปรับปรุงการดำเนินงานขององค์กร การตรวจสอบภายในช่วยให้องค์กรบรรลุวตั ถุประสงค์ด้วยการ
ประเมินและปรับปรุงประสิทธิผลของกระบวนการบริหารความเสี่ยง การควบคุม และการกำกับดูแลอย่างเป็น
ระบบและเปน็ ระเบียบ

ข้อกำหนดระบบบริหารจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013
กำหนดแนวทางในการตรวจประเมินภายใน (Internal audit) ไว้ดงั นี้
องค์กรต้องดำเนินการตรวจประเมินภายในตามรอบระยะเวลาที่กำหนด เพื่อให้ข้อมูลที่แสดงว่าระบบบริหาร
จัดการความมั่งคงปลอดภัยสำหรับสารสนเทศสอดคล้องกับ 1) ข้อกำหนดขององค์กรเองสำหรับระบบบริหาร
จัดการความมั่นคงปลอดภัยสำหรับสารสนเทศ และ 2) ข้อกำหนดของมาตรฐานฉบับนี้ (ISO /IEC 27001:2013)
ไดน้ ำไปปฏิบตั แิ ละรกั ษาใหค้ งไวอ้ ยา่ งมีประสทิ ธผิ ล โดยองคก์ รต้องมีการดำเนินการตอ่ ไปน้ี
1. วางแผน จัดตั้ง นำไปปฏิบัติ และรักษาให้คงไว้ของแผนงานการตรวจประเมิน (Audit Programme) ซึ่ง

รวมถึงความถ่ี วิธีการ หน้าที่ความรับผิดชอบ ข้อกำหนดของการวางแผน และรายงานผล โดยแผนงานการ
ตรวจประเมินต้องพิจารณาถึงความสำคัญของกระบวนการที่เกี่ยวข้องและผลที่ได้จากการตรวจประเมิน
ครงั้ กอ่ น
2. กำหนดเกณฑ์การตรวจประเมิน และขอบเขตสำหรบั การตรวจประเมนิ แตล่ ะคร้ัง
3. คัดเลือกผู้ตรวจประเมินและดำเนินการตรวจประเมิน ที่มั่นใจได้ถึงความเป็นกลาง และความเป็นธรรมของ
กระบวนการการตรวจประเมนิ
4. มั่นใจว่าผลที่ได้จากการตรวจประเมนิ ได้นำไปรายงานต่อผู้บริหารที่เกี่ยวข้อง และเก็บรักษาสารสนเทศ เพ่ือ
เปน็ หลักฐานแสดงแผนงานการตรวจประเมินและผลทไี่ ด้จากการตรวจ

ทีม่ า : ข้อกำหนดระบบบรหิ ารจัดการความมั่นคงปลอดภัยสำหรบั สารสนเทศตามมาตรฐาน ISO/IEC 27001:2013

หนา้ 5-59

ค่มู ือการประเมินผลการดำเนินงานรัฐวิสาหกิจ (ฉบบั ปรบั ปรงุ ปี 2565)
ตามระบบประเมนิ ผลรัฐวสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนกั งานคณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.) กระทรวงการคลัง
กระบวนการตรวจสอบภายใน

หนา้ 5-60

คู่มอื การประเมนิ ผลการดำเนนิ งานรัฐวิสาหกจิ (ฉบับปรับปรงุ ปี 2565)
ตามระบบประเมนิ ผลรัฐวสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรัฐวสิ าหกจิ (สคร.) กระทรวงการคลัง

6. การบริหารความตอ่ เนื่องทางธรุ กจิ และความพร้อมใชข้ องระบบ (Business Continuity and Availability
Management) (น้ำหนกั รอ้ ยละ 10)

6.1 การบริหารจดั การทรัพยส์ นิ ด้านเทคโนโลยีสารสนเทศ (IT Asset Management) (นำ้ หนกั รอ้ ยละ 2.5)

• กระบวนการบริหารจดั การทรพั ย์สินด้านเทคโนโลยสี ารสนเทศ (IT Asset Management) ของรัฐวิสาหกจิ *
• รัฐวิสาหกิจกำหนดมาตรฐานและระเบียบวิธีปฏิบัติการบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ

ที่ครอบคลุมการจัดทำทะเบียนรายการทรัพย์สิน การปรับปรุงทะเบียนรายการทรัพย์สิน การยกเลิกและการเรียก
คนื ทรพั ย์สิน
• รัฐวิสาหกิจกำหนดผู้รับผิดชอบในการจัดทำ ปรับปรุงทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศ และ
บำรุงรักษาทรัพย์สินด้านเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ รวมทั้งวางแผนรองรับทรัพย์สินด้านเทคโนโลยี
สารสนเทศที่ใกล้จะสิ้นสุดตามอายุการใช้งาน (End of life) หรือสิ้นสุดการใช้งาน (End of support) จากผู้ผลิต
ได้อยา่ งเหมาะสมทนั การณ์
• รัฐวิสาหกิจจัดทำทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศ (IT inventory list) ของฮาร์ดแวร์
(Hardware) และซอฟต์แวร์ (Software) ที่รองรับระบบเทคโนโลยีสารสนเทศขององค์กรได้อย่างครบถ้วนและ
เป็นลายลักษณ์อกั ษร
• รัฐวิสาหกจิ มกี ารปรบั ปรุงทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศให้เปน็ ปัจจุบันอยา่ งตอ่ เนอื่ ง
• รฐั วิสาหกิจมีกระบวนการในการยกเลิกและเรียกคืนทรพั ยส์ ิน (Return asset) เม่ือสนิ้ สดุ อายกุ ารใชง้ าน
• รัฐวิสาหกิจมีแนวทางในการบำรุงรักษาเชิงป้องกันสำหรับฮาร์ดแวร์ทั้งหมด (Preventive Maintenance Plan)
หรือขอ้ ตกลงในการบำรุงรักษาทรัพย์สนิ ดา้ นเทคโนโลยีสารสนเทศกับหน่วยงานภายนอกท่ีให้บริการ
• รัฐวิสาหกิจกำหนดแนวทางหรือวิธีการวัดประสิทธิผลของการบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ
(IT Asset Management) ขององค์กร

ระดับ 1 เรม่ิ มแี นวทางในการบรหิ ารจัดการทรพั ย์สินด้านเทคโนโลยีสารสนเทศ
ระดับ 2 รัฐวิสาหกิจมีกระบวนการบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ และแนวปฏิบัติที่กำหนดอย่าง

ครบถ้วนและเปน็ ระบบ ซ่ึงประกอบด้วย
• การจัดทำทะเบียนรายการทรพั ยส์ นิ
• การปรบั ปรงุ ทะเบียนรายการทรพั ย์สิน
• การยกเลกิ และการเรียกคืนทรัพย์สิน
• การบำรุงรักษาทรัพย์สนิ ดา้ นเทคโนโลยีสารสนเทศ
• การวางแผนรองรับทรพั ย์สินด้านเทคโนโลยีสารสนเทศที่ใกลจ้ ะสิ้นสดุ ตามอายุการใช้งาน (end of
life) หรอื สน้ิ สุดการใชง้ าน (end of support)

หนา้ 5-61

ค่มู ือการประเมินผลการดำเนนิ งานรฐั วิสาหกิจ (ฉบบั ปรบั ปรุง ปี 2565)
ตามระบบประเมนิ ผลรัฐวสิ าหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรัฐวิสาหกจิ (สคร.) กระทรวงการคลงั

ระดับ 3 รฐั วิสาหกิจมีการถา่ ยทอดกระบวนการบริหารจัดการทรัพยส์ นิ ดา้ นเทคโนโลยีสารสนเทศ แก่ผ้มู สี ่วนได้ส่วนเสียท่ี
สำคัญที่เกี่ยวข้องกับกระบวนการอย่างครบถ้วน โดยมีการแสดงการวิเคราะห์ที่ชัดเจน และมีการประเมินการรับรู้
ของผูม้ ีสว่ นได้สว่ นเสยี ท่ีสำคญั ท่เี ก่ยี วขอ้ งกบั กระบวนการอย่างครบถว้ น

ระดับ 4 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
บริหารจัดการทรพั ย์สนิ ด้านเทคโนโลยีสารสนเทศ

ระดับ 5 รัฐวิสาหกิจมีการกำหนดการวัด ติดตาม วิเคราะห์ประเมิน ตัววัดผลลัพธ์ (outcome) ของกระบวนการ
บริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ และมีการนำผลลัพธ์ที่สำคัญของกระบวนการ เข้าสู่
กระบวนการทบทวน การกำกับดูแลด้านการบริหารจัดการดิจิทัล /จัดทำแผนปฏิบัติการดจิ ิทัลขององค์กร
(ระยะยาว) มีการนำผลที่ได้จากการประเมินไปเรียนรู้ และจัดการความรู้ เพื่อนำไปปรับปรุงและทำ
นวตั กรรม โดยมีการจัดเก็บความรู้และนวัตกรรมท่ไี ดล้ งระบบดจิ ทิ ลั

หมายเหตุ :
* การประเมินกระบวนการจะใช้การประเมินรูปแบบระดับวุฒิภาวะ (Maturity Level) โดยพิจารณาจากการ
จัดการกระบวนการให้มีแนวทางปฏิบัติอย่างเป็นระบบ สามารถทำซ้ำได้ (Repeatable Practice) และเป็น
มาตรฐาน (Standardized Practice) ซึ่งมีการถ่ายทอดแนวทางปฏิบัติแบบเดียวกันทั่วทั้งองค์กร โดยมีการวัด
วิเคราะห์ และประเมินประสิทธิผลของกระบวนการอย่างเป็นรูปธรรม เพื่อนำมาปรับปรุงและพัฒนา
กระบวนการอยา่ งตอ่ เนอ่ื ง

หน้า 5-62

ค่มู อื การประเมินผลการดำเนนิ งานรฐั วสิ าหกิจ (ฉบบั ปรับปรุง ปี 2565)
ตามระบบประเมินผลรัฐวิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.) กระทรวงการคลงั

ทรพั ย์สนิ ดา้ นสารสนเทศ คอื
1. ทรัพย์สินสารสนเทศประเภทระบบ ซึ่งได้แก่ ระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงาน

คอมพวิ เตอร์ และระบบสารสนเทศ
2. ทรัพย์สินสารสนเทศประเภทอุปกรณ์ ซึ่งได้แก่ ตัวเครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ เครื่องบันทึก

ข้อมูล และอุปกรณอ์ ื่นใด
3. ทรพั ย์สนิ สารสนเทศประเภทข้อมูล ซ่ึงไดแ้ ก่ ขอ้ มลูสารสนเทศ ขอ้ มลู อิเล็กทรอนิกส์ และข้อมลู คอมพวิ เตอร์
การบริหารจัดการทรัพยส์ ินด้านเทคโนโลยีสารสนเทศ (IT Asset Management)
เพื่อให้ รส. มีการจัดทำทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศอย่างครบถ้วนและควบคุม ดูแล
ทรัพยส์ ินด้านเทคโนโลยีสารสนเทศให้มีความพร้อมใชง้ านและสามารถรองรบั การดำเนินธุรกจิ ไดอ้ ย่างตอ่ เนือ่ ง
1. กำหนดมาตรฐานและระเบียบวิธปี ฏิบัตกิ ารบรหิ ารจดั การทรพั ยส์ ินดา้ นเทคโนโลยีสารสนเทศ ครอบคลมุ การ

จัดทำทะเบียนรายการทรพั ยส์ ิน การปรับปรุงทะเบยี นรายการทรัพย์สิน การยกเลิกและเรยี กคืนทรพั ยส์ ิน
2. จัดใหม้ ีหนว่ ยงานผรู้ บั ผิดชอบในการจดั ทำ ปรบั ปรุงทะเบยี นรายการทรพั ยส์ ินด้านเทคโนโลยีสารสนเทศ และ

บำรุงรักษาทรัพย์สินดา้ นเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ รวมทงั้ วางแผนรองรับทรัพยส์ นิ ดา้ นเทคโนโลยี
สารสนเทศทใ่ี กล้จะสนิ้ สดุ ตามอายกุ ารใช้งาน (end of life) หรอื สน้ิ สุดการใหบ้ รกิ าร (end of support) จาก
ผ้ผู ลิตไดอ้ ย่างเหมาะสมทนั การณ์
3. มีการจัดทำทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศ (IT inventory list) ของฮาร์ดแวร์
(hardware) และซอฟต์แวร์ (software) ท่รี องรับระบบเทคโนโลยสี ารสนเทศของ รส. อย่างครบถ้วนและเปน็
ลายลักษณอ์ กั ษร โดยครอบคลุมอย่างนอ้ ย ดังน้ี

• ชอื่ เครือ่ งแม่ข่าย
• ชือ่ ระบบปฎิบัติการ (operating system) และเวอร์ชนั
• ชอ่ื ระบบงาน (application) และเวอร์ชนั
• เจ้าของทรัพยส์ ิน (owner)
• ประเภทของอปุ กรณ์ ย่ีหอ้ รายละเอยี ดทางเทคนคิ (specification)
• หมายเลขอา้ งอิงของฮารด์ แวร์ (serial number) และหมายเลขอ้างอิงของซอฟตแ์ วร์ (software license)
• สถานที่ตั้ง
• วันทเี่ ร่มิ ตดิ ตง้ั
• ประเภทการครอบครอง (ซ้อื หรือเช่า)
• รายละเอียดผู้ให้บริการหรอื ผ้บู ำรุงรกั ษา
• วันที่บำรุงรกั ษาล่าสุด
• วันส้นิ สุดการใชง้ านตามสญั ญา (warranty) และวันส้นิ สุดการรับประกนั การใช้งาน (support contract)
• วันสิ้นสดุ การให้บรกิ ารจากผผู้ ลิต (end of support)

4. มีการปรับปรุงทะเบียนรายการทรัพย์สินด้านเทคโนโลยีสารสนเทศให้เป็นปัจจุบันอย่างต่อเนื่อง โดยมีการ
ตรวจสอบทรพั ย์สนิ ดา้ นเทคโนโลยีสารสนเทศทีม่ ีอยู่จรงิ กับทะเบยี นรายการอยา่ งสมำ่ เสมออย่างนอ้ ยปีละ 1 ครั้ง

5. มีกระบวนการในการยกเลิกและเรียกคืนทรัพย์สิน (return asset) เมื่อสิ้นสุดการใช้งานครอบคลุมท้ัง
ทรัพยส์ นิ ด้านเทคโนโลยสี ารสนเทศทีใ่ ชง้ านภายใน รส. และกรณีท่ผี ใู้ หบ้ รกิ ารภายนอกมีการใชง้ านทรัพย์สิน
ของ รส. ทนั ทที ม่ี กี ารยกเลิกสญั ญาจา้ งด้วย

ที่มา : หลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) ของสถาบันการเงิน และแนวปฏิบัติใน
การบริหารความเสยี่ งด้านเทคโนโลยีสารสนเทศ ธนาคารแห่งประเทศไทย

หนา้ 5-63

คู่มือการประเมนิ ผลการดำเนินงานรัฐวสิ าหกิจ (ฉบบั ปรบั ปรุง ปี 2565)
ตามระบบประเมินผลรัฐวิสาหกจิ State Enterprise Assessment Model : SE-AM

สำนักงานคณะกรรมการนโยบายรฐั วสิ าหกจิ (สคร.) กระทรวงการคลงั

การบรหิ ารจดั การทรพั ย์สนิ ดา้ นเทคโนโลยสี ารสนเทศ

ทีม่ า : Wheel Chronicle

6.2 การบริหารจดั การคอนฟกิ เู รชน่ั (Configuration Management) (นำ้ หนกั รอ้ ยละ 2.5)
• กระบวนการบริหารจดั การคอนฟิกูเรช่นั (Configuration Management) ของรฐั วิสาหกิจ*
• รฐั วิสาหกจิ กำหนดขอบเขตและแนวทางในการบริหารจัดการคอนฟกิ ูเรชั่น (Configuration Management)
• รัฐวิสาหกิจจัดทำเอกสาร minimum baseline standard เพื่อเป็นมาตรฐานในการการตั้งค่าของระบบปฏิบัตกิ าร

ระบบฐานข้อมูล และอุปกรณ์เครือข่ายสื่อสารต่างๆ อย่างเป็นลายลักษณ์อักษร และมีการทบทวนปรับปรุงให้เป็น
ปจั จุบันอยา่ งสมำ่ เสมอ
• รัฐวิสาหกิจมีการจัดเก็บการเปลี่ยนแปลงของการตั้งค่าระบบของทุกอุปกรณ์ ระบบและระบบงาน (system
configuration version control)
• รัฐวิสาหกิจมีการสอบทานการตั้งค่าจากหน่วยงานที่มีหน้าที่ควบคุมดูแลความปลอดภัยหรือควา มเสี่ยงด้าน
เทคโนโลยสี ารสนเทศอยา่ งสมำ่ เสมอ
• รัฐวิสาหกิจกำหนดแนวทางหรือวิธีการวัดประสิทธิผลของบริหารจัดการคอนฟิกูเรชั่น ( Configuration
Management ) ขององค์กร

หนา้ 5-64